パスワードを忘れた? アカウント作成
13376451 story
セキュリティ

NISTの「パスワードには記号や数字を加え定期的に変更する」ルール策定者、間違っていたと後悔 126

ストーリー by hylom
諸悪の根源と言われても仕方が無い 部門より
あるAnonymous Coward曰く、

米国立標準技術研究所(NIST)で「パスワードには英大文字・小文字・数字・記号を使う」「定期的にパスワードを変更する」といったパスワード設定規則を作成したビル・バー氏が、このルールはほとんど間違っていたとして後悔しているという(ウォール・ストリート・ジャーナル)。

定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。

また、現代ではパスワードクラック技術が向上しており、そのため「英大文字・小文字・数字・記号を使った短いパスワード」よりも、「複数の英単語を単純に並べた文字数の多いパスワード」のほうが安全度が高いという。

  • よくある勘違い (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2017年08月10日 17時23分 (#3259520)

    無意味(というか有害)なのは、「定期的なパスワード変更を(システム側で)強制すること」です。

    ここに返信
    • by Anonymous Coward on 2017年08月10日 17時31分 (#3259529)

      うちのシステムがそれだ。
      三ヶ月に一回変更しないとログインできなくなる。
      パスワードに単語らしきものが入っていると弾かれる。
      変更履歴を持っていて一度使ったパスワードは二度と使えない。
      パスワードを忘れた場合の再設定は書類を書いて対面認証。

      そりゃ、ポストイットに書いてディスプレイに貼り付けが横行するわ。

      • by Anonymous Coward

        >マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。

        日本の貢献度は高いと思う

        • 弊社の場合 (スコア:3, 興味深い)

          by Anonymous Coward on 2017年08月10日 20時02分 (#3259638)

          確かに高そうだ。毎日数十回もパスワードを入力させられてる弊社だけでも、会社全体では一日あたりで延べ40日分パスワード入力に時間を費やしてるって試算があった。
          ちなみにこれはセキュリティ委員会で「いくらなんでも無駄すぎないか」という主張の補強に使われたのだが、「セキュリティは全てに優先する」ということで流されてた。
          ・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?

      • by Anonymous Coward

        うちはさらにパスワードの長さが16文字まで、変更画面では平文でパスワード表示だ

    • by nullnull (41989) on 2017年08月12日 5時47分 (#3260296) 日記
      強烈に不治痛がこれだ。しかも、シングルサインオンなインフラを導入するコストを掛けたはずなのに、未対応なシステムが続々と現れて、もうドブに金を捨て続ける感じ。
      --
      へなちょこ
  • この議論の違和感 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2017年08月10日 18時04分 (#3259560)

    根拠となる新たなエビデンスが一切ないこと。
    NISTとかGoogleとか、権威のある組織が言い出しただけで、たくさんの人がそれに乗っかってあたかも事実のように言い出してる。

    権威に乗っかってエビデンスを見ないって、セキュリティ専門家としては一番やっちゃダメなやつじゃね?

    ここに返信
    • by Anonymous Coward

      根拠っていったって、数字だけで言うなら英数記号強制で20桁のパスワードを毎日変更するのが一番安全なのは間違いないんだけど
      人間それやると絶対サボるからどこで折り合いをつけるかって話だからエビデンスなんか出しようがなくね?

      • by Anonymous Coward

        「人間は短くて複雑なパスワードはさぼるけど長いパスワードはさぼらない」っていうエビデンスを出せばいいと思った。

        • by Anonymous Coward

          サボっても単純に長い方が耐性が高いからマシって話でしょ

  • Appleのデバイスだと、Safariが自動でパスワードを提案してくれて、iCloudに保存しておくからユーザーは覚えなくてもいいよ〜
    っていう機能があるんですが、Apple信者の私でも躊躇する機能。スラドで、Appleユーザーで、あれを使っている、という人の割合を知りたい。

    #ケータイがAndroidなので困る、という理由も冷静に考えたらあった。

    ここに返信
  • 世にあるシステムってパスワードは何文字ぐらい受け付けられます?
    開発者の方には「私の携わったシステムでは○文字でした」というのも聞いてみたい。
    理論上はハッシュ化すれば元の文字列なんていくらでも、とは言え、実際のシステム的に入力の上限はありますよね。
    私は最近携わった案件では、UTF-8でNFC正規化して4096バイト(漢字だろうが絵文字だろうが受け付けるが文字数は変化)、なんてのがありましたが。

    ここに返信
  • by Anonymous Coward on 2017年08月10日 17時11分 (#3259507)

    Admin1708とか…。

    強度的にゼロに近そうw

    ここに返信
    • まず90日以内に変更しろ

      ログイン文字列は英単語になさそうなやつにしろ

      大文字小文字は必ず混在 記号も入れろ

      混ぜてもいい数字は最大三桁まで

      思いつかない奴はシステムが提案するパスワードを使え(覚えられない呪文)

      #パスワードは忘れても業務に全く支障がないのが判明したのでエーシー

  • by Anonymous Coward on 2017年08月10日 17時12分 (#3259508)

    反省してんなら許してあげるよ

    ここに返信
    • by Anonymous Coward on 2017年08月10日 17時49分 (#3259549)

      10年以上前に発表されたルールだと言うことを考えたら、そこまで反省するほどのものかな、という気はする。

      2003年、って事は、64ビットCPUがようやく市場に出回り始めた辺り、
      マルチコアやマルチスレッディングも黎明期(でintelとAMDが繰り広げてたクロック競争の末期と記憶している)だった訳で、
      当時のマシンリソース考えたら辞書アタック可能な実在する単語の組み合わせより、
      ブルートフォースに頼らざるを得ないランダム文字列かつ一桁あたりの文字種別が多い組み合わせのほうが、
      と考えるのはそこまでおかしい話でもないんじゃないかな。
      「複数の単語」って言ってもシステム側に8文字とか16文字とかの制限あるのが当たり前だった訳だし、
      その状況で単語を組み合わせたところでせいぜい2つか3つがいいところだった訳だし。

      問題はルールの内容そのものじゃなくて、10年前のルールを実情に照らし合わせる事もせずに掲げ続ける運用の方にあって、
      そこが変わらない限りどんなルールを決めたところで10年後には同じ事言ってる、になるだけでしょう。

      • by Anonymous Coward on 2017年08月10日 22時26分 (#3259729)

        辞書アタックだろうがブルートフォースだろうが、マシンスペックに関係なく、「定期的変更の強制」は
        理論上無意味かつ理論上有害なのは当時から指摘する人は結構いた。

        簡単な話で aから(前から)順にアタックされているか、zから(後ろから)アタックされているかはわからない。
        変更を強制することで、「次にアタックされる方へ二分の一の確率でパスワードを近づけてしまう。変更しなければそのまま」

        よって有害でしかない。結構前から言われてました

    • by Anonymous Coward

      いや、そこまで言うほど常識かな?個人レベルではそうかもしれないけど、組織レベルだとこういうことを言ってる人は結構いるような。

    • by Anonymous Coward

      反省して、そこで止まったらあきませんなぁ
      ちゃんと間違ってたから、と大きく声を上げて、無駄な風習を止めさせてください……

  • by Anonymous Coward on 2017年08月10日 17時19分 (#3259516)

    > 現代ではパスワードクラック技術が向上しており
    それ技術の向上と関係あるの?

    ここに返信
    • by nnnhhh (47970) on 2017年08月10日 17時37分 (#3259534) 日記

      元々、耐性としては
      ・長さが一番
      ・複雑さが2番
      だったんだが、昔は長いのが入れられないことも多かったし、
      クラック技術も未熟だったのでそこまで耐性が求められず、
      長いのは打つのがだるいからか覚えにくいからか、複雑なパスワードが好まれた。
      # どっちが先か知らないが、昔は「長いパスワード」が入れられるシステムが少なかったし

      今は複雑なだけでは対クラック性が足りなくなり、長さが必要になってきた

      長いほうがいい、開き直ってしまえばパス「ワード」は諦めてパス「フレーズ」
      パス「センテンス」
      にすりゃ少々長くても間違えない忘れないからそんなにコストは上がらないし、
      はじめっからこっち薦めておけばよかった

      って事でしょう

      • by wolf03 (39616) on 2017年08月10日 19時55分 (#3259630) 日記
        「健康と美容のために、食後に一杯の紅茶」の出番?
      • by Anonymous Coward

        昔はメモリやストレージが高価で節約が美徳だったから、折角同じ7bit ASCIIなら8文字くらいに収めてユーザには記号で複雑さを稼いでもらうというのが当然だった
        鍵長と考えれば英数大小と記号で8文字なら7*8=56bitに対して、記号を抜いて16文字なら6*16=96bitだからな

        • by Anonymous Coward

          昔も今も根本的に、可逆値でユーザーのパスワードを記録することが間違いなんだけどな
          ハッシュにするのであればデータ長は固定にできるから、パスワードのデータ長をどうこう言う必要は本来ない

          • by kicchy (4711) on 2017年08月17日 9時01分 (#3262365)

            昔も今も根本的に、可逆値でユーザーのパスワードを記録することが間違いなんだけどな
            ハッシュにするのであればデータ長は固定にできるから、パスワードのデータ長をどうこう言う必要は本来ない

            ハッシュの長さが短くてパスワードの長さに制限がなければ
            同じハッシュを再現できる可能性が高まるので、
            やはりパスワードの入力長は制限があったほうが良いと思う。

    • by ogino (1668) on 2017年08月10日 18時12分 (#3259564) 日記

      > それ技術の向上と関係あるの?

      総当たり攻撃を考えれば、関係あると思います。しかし、後述するように現時点ではどうかと思いますが。

      例えば、英大文字・小文字・数字・記号が 26+26+10+15=77 種類だとして、良くある最低 6文字だとか 8文字だとかと、英小文字のみの 12文字、英小文字数字の 12文字を比較すれば、

          77^6 ≒2.1×10^11 英大文字・小文字・数字・記号 6文字
          77^8 ≒1.2×10^15 英大文字・小文字・数字・記号 8文字
          26^12≒9.5×10^16 英小文字のみ 12文字
          36^12≒4.7×10^18 英小文字・数字 12文字

      ただ、「複数の英単語を単純に並べた文字数の多いパスワード」はこれを想定した攻撃を考えると、12文字程度では足りない気がします。仮にパスワードに使用する単語の語彙が 1万とすれば、3語では 10^12、4桁以下の数字(11110通り)を入れても 3語では、9.4×10^12 にすぎません。少なくとも 4語は必要と思われます。これは 12文字では足りませんが、パスワード文字数に制限があるサイトも多いので、難しいように思います。

          10,000^3=1.0×10^12 英単語1万語から 3語
          10,000^4=1.0×10^16 英単語1万語から 4語
          (10,000+11,110)^3≒9.4×10^12 英単語1万語と4桁以下の数字から 3語
          (10,000+11,110)^4≒2.0×10^17 英単語1万語と4桁以下の数字から 4語

      したがってパスワードの文字数に上限がある場合も多いことを考えると、単語や数字だけでは不足で、例えば好きなフレーズの単語先頭文字とかを入れるべきでしょう。

      しかし、昨今では、パスワードを共有する相手サイトごとにパスワードを変えるべきですから、「複数の英単語を単純に並べた文字数の多いパスワード」はすでに時代遅れでは?と思います。サイトごとに異なるパスワードの自動生成を一部なりとも導入すべきでしょう。

      # 計算に間違いがあればご指摘願います。

      • by Anonymous Coward

        同感です。

        さらに、単語の使用頻度は単語ごとに非常に差があり、頻出単語で考えるとせいぜい語彙は数千程度、
        さらに文法や慣用句を考慮した予測も利用可能であることを考えると、長いパスフレーズの複雑さを、
        12文字程度の複雑なパスワードより高めるには、それなりに長いパスフレーズにする必要があると思います。

        で、これをサービスごとに別々に考える必要がありますと。

        結果として、有名な歌詞の一部などを使い始める人が出てきて、パスワード時代と同じ議論にならないでしょうか。

        「パスフレーズなら予測困難なパスワードが容易に作成できる」「パスフレーズなら覚えやすいためPostItに書かずに済む」
        …本当ですかね?

    • by Anonymous Coward

      まぁ、いけてるレインボーテーブル使ったり?

    • by Anonymous Coward

      クラック技術というよりは、「全般的な技術の向上」でしょうね。
      クラッキング技術自体はそれ程向上していないと思う。
      新たなセキュリティホールを利用した・・・とかはあっても、今まで思いがけなかった方法でクラッキングされる可能性って、レノボの話題以降目新しい方法で話題ってなかったような・・・・(これ自体も、新しい技術でもなかったけど)

      処理の高速化/並列化が容易に実現できるので、ブルートフォースとか容易になってるとか。
      アタックに使うパターンもネットで大量に入手できるようになったとか。
      攻撃する側も、実行して放っておけば「いつか当たる」と思えるので、楽でしょうねぇ
      「環境の変化」が大きな要因だと思いますね。

      文字数が長ければ、組み合わせパターン数が天文学的に増えるので、モノが流出しない限り安全な場合が多いのはもともと言われてるわけですし、今更
      > 「複数の英単語を単純に並べた文字数の多いパスワード」のほうが安全度が高い
      こんなこと言わなくてもねぇ

  • by Anonymous Coward on 2017年08月10日 17時51分 (#3259552)

    違法なことは何もしておらず、迫害には徹底的に戦う。

    ここに返信
  • なぜ定期的にパスワードを変更することが無意味なのでしょう?

    定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。

    ここでは
    頻繁に説明されているから
    学んでいる人の常識だから
    と書かれています。

    ここに返信
    • 無意味ではない。
      パスワードが流出した事に管理者が長期に渡って気づいていないか公表していないか、盗んだ犯人が長期に渡って悪用していない場合に意味がある。

      普通は流出すると速攻で悪用すると考えられるので
      流出→悪用までの間に運よくパスワード変更してたら助かるよね(^^;
      という話。

      昔はパスワード解析に時間が掛かると考えられたけど、平文で保存するおバカな管理者も居たり超高性能コンピューターもあったりでそうも行かない今日この頃。

    • by Anonymous Coward

      そこは、頻繁に説明されているから常識になっている、と読むべきでは?
      そしてこの文は、……ことが無意味であることを前提としているので、その理由(なぜ)についてはここを読んでも意味ないし。

      • by Anonymous Coward

        そしてパスワード変更が無意味なことはわかってないと。

    • by Anonymous Coward

      マジレスすると、めんどくさいルールを押し付けるとユーザーがパスワードを使いまわしたり、ポストイットで貼り付ける事をするから

      • by Anonymous Coward

        それは従来から既知じゃね? なぜ突然それを言い出したの?

  • AppleのiCloudの大量クラックによる「セレブヌード流出事件」を引き起こした主犯「秘密の質問」もね

    まぁあのときは「秘密の質問」に対するブルートフォース対策がなってなかったというAppleの重大な過失があったようだけど
    (当時、最初にクラック実績を主張したクラッカーの発言より)

    ここに返信
typodupeerror

人生unstable -- あるハッカー

読み込み中...