推奨するパスワードの決め方 (#90195) | 大学パスワード管理の現状

「大学パスワード管理の現状」記事へのコメント

記事ページを表示すべてのコメント取得

検索115コメント Log In/Create an Account

弱いパスワードを登録できた時点で負け (スコア:5, 参考になる)

by HIRONOBU_SUZUKI (2058)

簡単なパスワードを登録できた時点で、そのシステムは既に終わっています。今の Linuxや*BSDではPAMの機能 を使えば弱いパスワードは拒否されます。対NSAレベルではありませんが:-)、辞書攻撃を含めて、素人さん相手には、ほぼ不可能なレベルになります。
ちなみに辞書攻撃可能なパスワードだと市販PC程度のスペックのマシンでも 100ms程度 で破られます。みんなが考えているよりも簡単です。そんなに難しくもなく、ちょっとヒントを言うと去年のCRYPTO2001 ( CRYPTO2002 [iacr.org] ) でのランプセッションの余興にパスワード破りのデモがあったのですが、それを一般のシステムに応用すればすぐできます。京都大学の

--
すずきひろのぶ
- Re:弱いパスワードを登録できた時点で負け (スコア:0)
  
  by Anonymous Coward
  
  Markov chainって、ふつうは正のクラスと負のクラスの両方のトレーニングデータセットでモデルを作っておいて、それをもとに実際のデータの確率を計算して、log-likelihoodを見て正負どちらかの「らしさ」を求めますよね。
  
  引用された関数だと、
  - Re:弱いパスワードを登録できた時点で負け (スコア:1)
    
    by HIRONOBU_SUZUKI (2058)
    
    どこかの小ネタに使おうと思って作った関数で、パスワード辞書とランダムデータの２つを比べて中途半端な統計を取っていますが、きちんと理論的背景をつけれなかったので、 そのまま没 にしていました。
    Fool Proofな目的に作ったのではなく、純粋に遷移で見ているので12345678とか%%%%%%%
    
    --
    すずきひろのぶ
    - Re:弱いパスワードを登録できた時点で負け (スコア:1)
      
      by tix (7637)
      
      ちなみにランダムな８桁の数字は結構、丈夫ですよ。
      そうなんですか？数字ばかりのパスワードは試す人がたくさんいそうで、すぐに破られる気がするのですが。何と比較して丈夫なのでしょうか。
      
      パスワードを決めるときには
      
      なるべく長く
      英大文字・英小文字・数字・記号を入れる
      同じ文字を何度も使わない
      英語・日本語などの単語になっていない
      にするようにとよく言われます。これらは守るべきです。た
      
      --
      鵜呑みにしてみる？
      - Re:弱いパスワードを登録できた時点で負け (スコア:1)
        
        by HIRONOBU_SUZUKI (2058)
        
        数字ばかりのパスワードは試す人がたくさんいそうで、すぐに破られる気がするのですが。何と比較して丈夫なのでしょうか。
        
        何にも比較しないで定量的に:-) ランダムな８桁数字なので 高速な辞書攻撃が使えません。 従ってブルートフォースに頼らなければいけませんが、ランダムな８桁数字を見つけるための平均試行回数を考えればわかると思います。あとは運次第です。
        
        なるべく長く / 英大文字・英小文字・数字・記号を入れる / 同じ文字を何度も使わない / 英語・日本語などの単語になっていない
        
        というだけで
        
        --
        すずきひろのぶ
        
        Re:弱いパスワードを登録できた時点で負け (スコア:1)
        
        by tix (7637)
        
        パスワードクラックの辞書には載っていないこと
        ご指摘の通りです。「英語・日本語などの単語になっていない」の中にフランス語なども入っていたり、3をEとみなすとそう読める、なども含まれていたりすると解釈してください。って、無茶ですね……言葉が足りませんでした。
        パスワードクラックの
        
        --
        鵜呑みにしてみる？
        
        なになっとくしてんすかー (スコア:0)
        
        by Anonymous Coward
        
        意図的(確信犯的?)なのかそうでないなのかはわかりませんが誤解を招くような展開になっている(と思う)ので一応指摘しておきます。
        
        ランダムな8桁の数字によるパスワードが、辞書に載ってる単語によるパスワードより辞書攻撃に強いのはあたりまえです。ランダムなんですから。
        
        数字のみでも辞書に載っていたら簡単にやられます。確かに現状では数字のみの単語はあまり辞書には載っていませんが、今後加えられる可能性がないわけではありませんし、また今回のケースのように大学の学生アカウントであれば、攻撃者は当然学生IDなどの辞書化を行うでしょう。
        
        推奨するパスワードの決め方 (スコア:1)
        
        by HIRONOBU_SUZUKI (2058) on 2002年05月07日 12時08分 (#90195) ホームページ
        
        従って「ランダムな８桁の数字は結構、丈夫」などという誤解を招くような表現は避けるべきです。
        たしかここだけ見ると誤解されかねないかも知れませんね。推薦するの作り方はLinuxや*BSDだと
        % cat /dev/urandom | mimencode |head -1
        で表示された文字列から任意の長さ分使う。という形なら誤解されないと思うのですが、これでいいでしょうか？
        
        --
        すずきひろのぶ
        
        シェア
        
        親コメント
        
        Re:推奨するパスワードの決め方 (スコア:0)
        
        by Anonymous Coward
        
        誰に聞いているのかよくわかりませんが、いいんじゃないでしょーか
        Linux Security HOWTOにもこんな風に [linux.org]書いてありますし。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

大学パスワード管理の現状 More ログイン

「大学パスワード管理の現状」記事へのコメント

弱いパスワードを登録できた時点で負け (スコア:5, 参考になる)

Re:弱いパスワードを登録できた時点で負け (スコア:0)

Re:弱いパスワードを登録できた時点で負け (スコア:1)

Re:弱いパスワードを登録できた時点で負け (スコア:1)

Re:弱いパスワードを登録できた時点で負け (スコア:1)

Re:弱いパスワードを登録できた時点で負け (スコア:1)

なになっとくしてんすかー (スコア:0)

推奨するパスワードの決め方 (スコア:1)

Re:推奨するパスワードの決め方 (スコア:0)

スラド