パスワードを忘れた? アカウント作成
12009848 story
セキュリティ

「パスワードの強度を判定」するツールにご注意を 45

ストーリー by hylom
むしろアレは信じられないものだと 部門より

「パスワードの強度を判定」するツールやサービスはいくつかあるが、それらによる判定結果に一貫性がないことがReadWriteで取り上げられている。

コンコルディア大学の研究者らが行った調査結果によると、こうしたツールではたとえば小文字の「l」を数字の「1」に置き換えるような、「破られやすいパターン」を無視することがあるという。さらに、実際にさまざまなツールやサービスを使って検証したところ、ほぼ同一のパスワードでまったく異なる結果が出た例もあるそうだ。

サイトによって異なる基準で強度を判定しているのが原因だそうで、またその判定基準もほとんど公開されていない点も問題だとしている。また、Dropbox(と同様のアルゴリズムを採用しているKeePass)だけは例外で、そのアルゴリズム「zxcvbn」はオープンソースで公開されており、その判定基準は非常に効果的だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • それ以前に (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2015年04月14日 7時22分 (#2796676)

    そいつらが集めたパスワードで辞書作って悪いことしてないって思うのはなぜ?

    • by ymasa (31598) on 2015年04月14日 8時11分 (#2796686) 日記

      > そいつらが集めたパスワードで辞書作って悪いことしてないって思うのはなぜ?

      ソース読みました?

      そいつら

      > 調査の対象となったウェブサイトには、
      > アップル、Dropbox、Drupal、グーグル、eBay、マイクロソフト、PayPal、Skype、
      > Tencent QQ、Twitter、ヤフー 、ロシアのメールプロバイダYandex Mailなど
      > が含まれる。

      が悪いことするならもっと別の方法があると思うけどね。

      親コメント
      • by Anonymous Coward

        パスワード判定させることで候補になりやすいものを得て悪用するって懸念があるって指摘でしょう。
        それに対象サイトは利用者の多いのを選んだとされてるだけで、信頼されてるということを意味しない。

        • by Anonymous Coward

          それ判定しないでも実際に格納されたパスワードの中から多いもの選ぶだけでいいやん

          • by Anonymous Coward

            > 実際に格納されたパスワード

            はぁ?しゅしゅ

            • by Anonymous Coward

              > > 実際に格納されたパスワード
              > 
              > はぁ?しゅしゅ

              そいつらが悪いことするならハッシュしないで置くと思うよ。

              #そうか!まだ春休みか!!

              • by Anonymous Coward

                ソース読みました?

              • by Anonymous Coward

                ソースはよんでないけど「そいつら」ってのは
                > アップル、Dropbox、Drupal、グーグル、eBay、マイクロソフト、PayPal、Skype、
                > Tencent QQ、Twitter、ヤフー 、ロシアのメールプロバイダYandex Mailなど
                のことで、パスワード判定なんてしないでもいくらでもパスワード集められるし、マイクロソフトに至ってはパスワードなんて必要なくせるし。
                まあ、中の人が悪い事する可能性あるし、使い回しせず毎回ランダム生成が良いと思うけどね。
                #あと流出・消失しても諦められる態勢作りと。

              • by Anonymous Coward

                そいつらはサービスのみで元記事に書いてあるツールが除かれてるし
                調査に使用したものが挙がってるだけ
                安全云々とは関係ない

    • by Anonymous Coward
      もしそういうことが起きたとしても、その時には自分だけが被害を受けるのではなくもっと大きな枠で社会問題になると思うし、その時には自分以外のもっと有能で敏腕な人が先頭に立って戦うだろうと思っているから。

      #抗う力が無い者は長いモノには巻かれとけばいい説
  • by ymasa (31598) on 2015年04月14日 8時13分 (#2796687) 日記

    ルールは独自でいいんじゃないのかな?

    てか、なんでパスワードの強弱を表示するんだろうね?
    強いって表示して破られたら誰の責任ですかね?

    • by ciina (26410) on 2015年04月14日 9時49分 (#2796738) 日記

      セキュリティ担当者:可能な限り強固なパスワードにさせろ
      マーケティング担当:ユーザビリティ上げてログインしやすくしろ

      妥協して利用者の自己責任で弱いパスワードを使用可能にする仕組みかと。
      前提として不正アクセスが生じても運営側に被害が無いwebサイトの必要があるのでしょうか。

      親コメント
    • by Anonymous Coward

      弱いパスワードは危険だからです。そして、弱いパスワードを弱いと表示していないから今回問題になってるのです。
      何を以って弱いと判定すべきかは、既に流出済パスワードの解析により分かっています。

      • by ymasa (31598) on 2015年04月14日 10時54分 (#2796764) 日記

        > 弱いパスワードは危険だからです。

        そんなのわかったうえでの話だろ。

        > そして、弱いパスワードを弱いと
        > 表示していないから今回問題になってるのです。

        強いパスワードはメモされるというデメリットが
        ありますけどね。

        強ければそれでいいと短絡的に思ってるの?

        > 何を以って弱いと判定すべきかは、
        > 既に流出済パスワードの解析により分かっていま

        ソースは?

        親コメント
        • by Anonymous Coward

          > 強いパスワードはメモされるというデメリットが
          > ありますけどね。

          ソースは?

          --
          (y)

          • by Anonymous Coward

            > --
            > (y)
            なんでACなの? 某頭のおかしい人みたいにIDでの発言回数制限されたりしてるの?

            • by ymasa (31598) on 2015年04月14日 15時27分 (#2796971) 日記

              > なんでACなの? 某頭のおかしい人みたいにIDでの> 発言回数制限されたりしてるの?

              ACがイタズラに書いてるだけなので触れないことをお薦めします。

              ↓これ自動にくっつくのでACなら故意に書かなと着きませんよ。

              親コメント
              • by Anonymous Coward

                これがオフトピだとは思えないけどな。

          • by Anonymous Coward

            揚げ足取りは止めましょうよ。

            弱いパスワードは英字だけだったりして覚えやすいけど、強いパスワードは加えて数字記号もあったりするので覚えにくい。
            だから、どっちかというとメモされやすい、ということでしょう。

            にしても、
            > --
            > (y)
            は若干気になります。

            • by Anonymous Coward

              強くても覚えやすいパスワードは普通に存在します。別に数字記号を入れなくても強いパスワードは作れますよ (システム的に使えるかは別ですが)。
              https://xkcd.com/936/ [xkcd.com]
              https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-stren... [dropbox.com]

              • パスワードの強弱の判断基準がツール/サービス毎に違うという話題

              • by Anonymous Coward

                上記リンクでの強度は数学に基づくものであり、既存の悪い判断基準へのアンチテーゼとして書かれています。まさしく今回の話題に沿うものです。

            • by Anonymous Coward

              > は若干気になります。

              春には毎年バカが沸きますよ。

        • by Anonymous Coward

          >ソースは?
          zxcvbn [github.com]のAcknowledgmentsに張られているリンクより。サイトが落ちているので、Web Archiveのリンクを張っておきます。
          そのサイトによれば、50%以上の人がトップ10,000個のパスワードの中のどれかを用いているとのこと。このトップ10,000個のパスワードは弱いパスワードと言えます。

          10,000 Top Passwords
          http://web.archive.org/web/20150209170139/https://xato.net/passwords/m... [archive.org]
          >Here are some interesting facts gleaned from my most recent data:
          > 0.5% of users have the password password;
          > 0.4% have the passwords password

      • by Anonymous Coward

        流出してしまったら強い弱いには関係ないのでは?
        強いパスワードだろうが流出してしまえば第三者にログインされちゃうでしょ。

        • by Anonymous Coward

          通常、パスワードはハッシュ化されて保存されているので、ハッシュ化されたパスワードが流出してしまっても強いパスワードであれば問題は少ないです。
          しかし、弱いパスワードだと、ハッシュ化されたパスワードから、元のパスワードを取得できてしまいます。

          ハッシュ化されたパスワードから元のパスワードを取得する方法としては、例えば総当たり攻撃や、レインボーテーブルを使う方法、辞書攻撃などがあります。
          辞書攻撃では、攻撃成功率を上げるために、流出済平文パスワードから使用されているパスワードの傾向が調べられています。
          これらの攻撃に対してパスワードが弱いか強いかは重要なのです。

          • by ymasa (31598) on 2015年04月14日 17時27分 (#2797039) 日記

            約500万件のGmailアドレスとパスワードが漏えい、流出元は別サイトか
            http://itpro.nikkeibp.co.jp/atcl/news/14/091100836/?ST=smart [nikkeibp.co.jp]

            こんな話もあったね。
            こういう生パスワードで総攻撃してくるのが日常。
            どんなに強固でも漏れたパスワードは弱い。

            ま、この場合はサイトごとにパスワード変えていればいいんだけど。

            親コメント
          • by Anonymous Coward

            それは流出したのはパスワードではなくハッシュですよね。
            最近でいうとTwitterレイバンのような、本当にパスワードが流出した場合のことを言ったつもりでした。

            • by Anonymous Coward

              Twitterでのレイバンの件は未だ原因不明ですが、Yahooのハッシュ化パスワードの流出によるものか、もしくはパスワード固定型のID総当り攻撃と言われているようです。
              いずれにせよ、パスワードが流出したものではないかと。

              あなたのソーシャルアカウントは今初めて乗っ取られた訳ではない
              http://blogos.com/article/107921/ [blogos.com]

          • by Anonymous Coward

            > 通常、パスワードはハッシュ化されて保存され
            > ているので、ハッシュ化されたパスワードが流
            > 出してしまっても強いパスワードであれば問題
            > は少ないです。

            生パスワードが流出しているのですが。

            #そうか!まだ春休みか!!

            • by Anonymous Coward

              何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。
              レインボー攻撃に弱い非HMACなハッシュ関数(素のMD5やSHA1)を使っているところは、まだ残ってそう気はしますが。

              • by Anonymous Coward

                >生パスワードを保存している所なんて今日びありませんよ

                脳みそお花畑やなぁ

              • by Anonymous Coward

                何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。

                もう少し世間というものを知ろう。

                「ソニーはパスワード数千個を『パスワード』というフォルダに保管していた」 [gizmodo.jp]

                大事なパスワード保管庫の名前が「Password」って…壁に何発か頭ぶつけてよしだよ!……
                ……フォルダーにはもっと沢山のパスワードが入っています。「Facebookのログインパスワード」というのもあります。
                誰が見てもパスワード、どこから見てもパスワード。
                暗号化もセキュリティもなしの平文で、一般常識も小学生並みのオンライン安全対策もなし、です。

              • by Anonymous Coward

                CHAPやAPOPを提供しているISPが絶滅していたとは知りませんでした。

              • by Anonymous Coward

                > レインボー攻撃に弱い非HMACなハッシュ関数

                何の話をしているかは分かりませんが、なんで HMAC が出てくるの?
                本来、HMAC は秘密鍵を共有していることが前提だから、ハッシュ化はできないよ。
                MD5 や SHA1 のような前から順番に繰り返し変換するハッシュ関数ならば、途中まで
                ハッシュを求めてそれを保存しておくことができるけど、それがレインボーテーブルに対して
                有効な対策になると、?

                もしかして: salt

              • by Anonymous Coward

                生パスワードが必要となるクライアント側となれば話は別ですよ。ハッシュだけで十分なサーバー側などとは事情が異なります。
                パスワードを保存するフォルダに暗号化をかけていても、セッション中はパスワード無しでアクセスできるという状態の所も多いでしょう。

              • by Anonymous Coward

                ISPのパスワードは配布される鍵なので例外です。サイトでのパスワードの強度の判定は行いません。行間を読んでくださいな。

              • by Anonymous Coward

                HMACは定番のkeyed hashアルゴリズムです。
                saltは弱かったはず…と思って今確認したところ、レインボーテーブルには強くとも、ブルートフォースやlength extension attacksに弱いとのこと。

                「SHA-1+salt」はパスワードに十分だと思いますか?
                http://blog.f-secure.jp/archives/50564743.html [f-secure.jp]
                Salted Password Hashing - Doing it Right
                https://crackstation.net/hashing-security.htm [crackstation.net]

              • by Anonymous Coward

                > ISPのパスワードは配布される鍵なので例外です

                なにを例にそう言えるの?
                頭のなか春なの?

                > サイトでのパスワードの強度の判定は行いません。

                勝手に決めるなよ!

                > 行間を読んでくださいな。

                君の無さすぎる知能を読むのは無理かな。

  • by Anonymous Coward on 2015年04月14日 8時26分 (#2796691)

    | Paypal01というパスワードはSkypeの基準では脆弱とみなされたが、PayPalでは強いとされた。
    そりゃそうでしょ。Paypal01すなわちPaypalが01番強いという文字列なんだから。

  • by Anonymous Coward on 2015年04月14日 13時03分 (#2796849)

    みなさんがお使いの、○○、大丈夫ですか? から始まって、最後にお勧めが出てくる流れが。

    • by Anonymous Coward

      最後は価格ですね。
      それも「今だけ価格」か「お得な価格」

  • by Anonymous Coward on 2015年04月15日 1時32分 (#2797299)

    英数記号混ぜれば8文字でいいとかって発想がもうね・・・
    「パスフレーズ」のように英字だけでいいから、単純に長いほうが強度も高いし覚えやすい。

    まぁ、萌え豚だと似たようなパスフレーズだらけになりそうな気もするがw

    • by Anonymous Coward

      その事も考慮して、zxcvbnでは人気TV番組に使われている単語を弱いと判断しています。 >似たようなパスフレーズだらけ

  • by Anonymous Coward on 2015年04月15日 11時31分 (#2797468)

    某バグ管理システムのアカウントパスワードは、英字大文字小文字と数字を1つづつ以上含む、8文字以上の文字列を強制されるんだけど、ぶっちゃけ覚えてられない。
    誤入力○回でアカウントロック方式なら、多少ゆるくて問題ないと思うんだけど。

    # オープンソース系はホスティング先が分散してるので、最悪、依存してるソフトウェアの数だけ、覚えなきゃならないパスワードが増えるよねw

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...