【セキュリティ】パスワードは複雑さより長さのほうが大切とFBIが指南
■ このスレッドは過去ログ倉庫に格納されています
パスワードは複雑にする必要はない。ただ長くすればいい�B米連邦捜査局(FBI)のそんな勧告が話題になっている。
根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。
これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。
ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。
そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。
FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げている。大文字と小文字の使用や記号の使用は必須としない。長さについては15文字以上を推奨している。
そこまで長い未字列を受け付けていないシステムでは、それぞれで利用できる最長のパスワードまたはパスフレーズを設定することが望ましい。
ただしパスフレーズもパスワードと同様、もちろん使い回しは禁物だ。いつ、どこで流出するかは分からないし、いったん流出すれば攻撃に利用される可能性がある。
誰でも知っているようなフレーズや名言の類、歌詞なども避けなければならない。
(パスワードではなく本文が長いので以下略)
https://news.biglobe.ne.jp/it/0302/imn_200302_6983402844.html 長いと覚えられないってレスする気だろうが
それなら4桁を複数回繰り返したらいい Omankokusaiyoaiueoで今まで破られたことないわ 日本て馬鹿だから
社内の情シスが古いガイドラインに従って
3カ月に一度強制的に大文字小文字数字記号混じりのパスワードに変更させそう パスワードは数年でなくなると思うけどね
いくつも覚えきれないだろ 日本語(unicode)対応にすれば最強なんだがな 文章にするのは良い方法
未だに12文字とかの長さ制限あるとこがあってウザい >>8
何そのうちの会社w
しかも直近3回の使用済みPWは設定禁止とか うちの会社いまだに半年ごとにパスワード再設定させられる
8文字以上16文字以下、過去10回のパスワード履歴は保存してるから使いまわし不可
ちなみに大手IT企業でこのレベル 総当たりならば複雑さより、長さが重要になるわな
一桁増えるだけで全然変わってくる >>8
日本て〜
馬鹿は大きな主語を使うと自分が一端の人物だと勘違いして気持ち良くなるんだよね >>8
よく知ってるじゃねーか
末尾の数字カウントアップしたパスワードで更新してるわ 英字+数字の短いパスワードなんか総当たりで数秒だから変える頻度が多くても意味ないからな。
英字+数字+記号で規則性の無い120字位にした方が安心 >>28
ファミコンの覇邪の封印のパスワードが120文字のそういうやつだったな
結局クリアできなかった >>23
指切りとられたり目玉くりぬかれるようになるのか? >>8
これほんと迷惑だわ
結局パスを紙やらデータやらで残すんだよな
パス忘れて悲惨なことになってた同僚いたわ >>8
abc12345678A
abc12345678B
abc12345678C
:
abc12345678Z
abc12345678A
(繰り返し) fukadakyokonigankisaretai ドラクエのふっかつのじゅもんが安全かも、自分ですらログインできなくなる どうせ誰も責任とらないんだからこっちの好きにさせろ ほんこれ
パスワード盗んだ本人でさえ打ち込むときに間違えるからな >>37
まさにうちですわ
しかもメモ用紙にそのパスワード書いて貼ってる >>8
unkochinchinMk0
〜
unkochinchinMk9
これをローテさせればいい >>10
エロ系のパスワードそれにしてる奴多そう。 パスワードかIDが違います
パスワードを忘れた場合はコチラ
IDを入力してください
IDが違います
IDを忘れた場合はコチラ
パスワードを入力してください
パスワードが違います 長いパスワードを複数バラバラに設定するとか覚えてられない
結局複数のサイトとかで似たようなのを使うから一つ流出すると芋づるよ
パスワード以外の認証方法が必要 いまだに英数字のみで16文字以内とかいうサイトあるからなw 長すぎて自分でもタイプミスではねられる事がたまに起きます >>8
老害が覚えられなくてパスワードを付箋に書いてPCに貼るからな >>57
サイトによってはパスワードを平文で保存してる所もあるから
絶対に止めたほうが良い ランダムアタックする側として考えれば桁数多いほうがクソ面倒だもんな
ダイヤルロックも3桁なら試そうかと思うが桁増えると無理ゲー感でるだろ >>9
指紋などは1度データ盗まれたら終わりだぞ
自分で気軽に変更できるものでないと >>61
そういや4桁以上のダイヤルロックて見ねえな darknessotintinも潮時ってことね(´・ω・`) パスワードは忘れる可能性の低い文字と数字の組み合わせにして、大切な情報はスマホやPCに入れとかない事が重要 ローマ字があるおかげで、
自分で決めた変換方法とローマ字で、
パスワード作れるからなぁ 好きな曲の歌詞をローマ字打ちするのオススメ☺
poppoppo...hatopoppo...mamegahoshiikasorayaruzo
とか マイナンバーカードを発行してもらうとき
パスワードを入力したら受付の女性の表情が微妙に変化したな >>8
無能は自分の予防線のために利便性や実用性を無視して安全性に全振りするからなwww
自治体がダメな理由と完全一致w
バカの集まりよ フィッシングに引っかかってgoogleアカウント乗っ取られてるYouTuber多すぎて笑える
IDパスワードだけじゃあ、どんなに複雑だろうが長かろうが定期的に変更しようが無駄
だって本人が提供しちゃうんだもの 流出って平文で保存してるアホサイトは使うのやめた方がいい 長さじゃないな
ATM以下の防御しかできないのがだめなのよ
1回アクセスにパス4回失敗しても遮断
できないんで 安心感は全くしない
ヤフーなんか IDから入り 8桁A〜Zパスを
破られて・・金積んでたら取られてたわ 1919118saikouyoで破られた事ないわw 秘密のパスワードやめてほしい
農協のオンラインサイトだが
登録させるときには、卒園した幼稚園は?で登録させたのに
聞かれるときは、卒園した保育園は?って聞いてくるっていう
アクロバティックなこともやってくる
あと答えは安倍幼稚園なのか安倍なのかどっちだったかみたいな煩わしさも最悪 >>82
秘密の質問ウザいよなあ
アレはやめて欲しいわ >>32
そういうのネタにした映画があったように思う
これは恐ろしく、笑えないな どっちも重要だろ
半角欧文小文字4桁と複数の文字種で10桁以上なら
ブルートフォースでの解析にかかる時間が全然違う
漏えいした形跡がなければ定期的に変えるのは無駄なこと
文字種や長さが同じなら変える前と変えた後解析にかかる時間にも
解析される確率にも違いはない >>63
普通に見るけど
特に4桁はたくさんあるし そもそと米連邦政府がパスワード破りしまくってるらしいじゃん
FBIの勧告通りでいいのか?
ワイド文字もアリにすりゃいいだけだろ >>84
一時期実際に事件起こりまくってたぞ
2000年頃
今の生体認証は生きてる状態じゃないと認識されないから減ったけど 日本のwebサービスだとmax8桁、12桁とかふざけてるとこ多すぎ
>>3
短い
最低32文字くらいないと >>8
なな、なぜうちの運用ルールを知っているんだっ?! 本当に重要な情報を守りたいならワンタイムパスワード使えば解決。
一度しか使えないから万一漏れても気にしなくていい。 英数字だけじゃなくひらがな・カタカナ・漢字を使えるようにするのはどう? 24ケタの英小文字と数字で従来のスパコンで1895京年、
グーグルで1兆倍速くなったとしても1895万年、
例えばgpw-gwm-gpw-gwm-gpw-gwm-gpwと貼っていて
実際はgpw-gwm-gwa-gwm-gpw-gwm-gpw-gm3とすれば
まず解けない。(ハイフンは実際には使わないものとする) 写真とか画像をパスワードに使用するって話とかなかったっけ? 二人で恥ずかしいセリフを一緒に言うパスワードがあってだな・・・ 漏れたか漏れてないかの2択の時代だから
ブルートフォースを考慮する時代は終わった 1password買ってから、
すべてのサイトを別々のランダムなパスワードに変えたわ。
ただ迷惑メールが多いのを何とかしたい。 生体認証って一度流出しちゃうと
代えが利かないよね
指紋とか虹彩はSNSの画像でも通ったりするし >>8
うちの会社の情報を流すな
しかもセキュリティソフトメーカーだから笑えねえ 会社のうんこより遅いPCがようやくうんこ位の物に変わったんだがついでにネットワーク関係も刷新してPWが変わった
新しいPWはPCの脇にガッツリとテプラで貼られてて安心 >>106
1Passwordで管理してたけど、iCloudでも管理するようになって、二重で管理してる状態 >>8
弊社は2か月です!(ドヤァ
省庁の出してるガイドラインが古いままだからそれに従わないといかんのでめんどくさいね >>8
うちの会社だ
覚えられないから付箋に書いて貼ってる奴がいる わかる
総当たりをブロックするには長いのが有効だよね 新しいパスワードを入力して下さい。
本システムのパスワードは暗号化され元の文字列に復元出来ない安全な方法で保存されます。
↓
ERROR!!
以前使用していた文字列を含めることはできません。 漢字なら解析に天文学的時間がかかるのになんでアルファベットなんだろ? >>120
漢字だと変換しなきゃならんからなあ
斉藤のさいとか結構似たよう字あるから
本人ですらパス通らなく支障きたしそう >>120
念仏をパスワードにする奴が多いから
南無阿弥陀仏 >>8
年取ると物忘れがひどくなって
パスワード忘れるとかわりと恐怖 3か月に1度変更しろというわが社のクソシステム
現在のパスワード q2345678
新しいパスワード w2345678
めんどくせぇからこうやってアルファベットを1文字変えていたけど
最近こーいうのが通らなくなった。ほかにやりる事があるだろ?クソ情シス。 ひんぱんにパスワードの変更を要求して、パスワードの履歴を保存しておいて、前に使ってたからダメとか言うな macOSのせいで、窓環境でさえとんでもない桁数を暗唱できるようになってしまって逆に辛い。 Apple系は大文字入れろとか言ってくるから大嫌い 大文字と数字が入ってないパスって
今は使えなくなっているな 26^26^10^10^16でも十分強度がある
同じパスワードを10年も使わなければ良い >>8
めんどくさいから
月毎に変えてるわw
Mutuki01
Kisaragi02
Yayoi0303 パスワードの変更をお願いしてくるとこは無視して使ってるけど
強制してくるとこはもう使ってない
今もそんなとこあるのかは知らない mukashimukashiojiisantoobaasangaimashita
水谷優子が亡くなられた事を思い出した omekonamenamenamenameshitai4
でも単純に桁多いから破るの大変になるだろうしな 長いのは入力するの面倒くさいから諦めてくれるんじゃねーかな キーボードの上からAから始まる列のキーを横並びに押してたヤツいたな パスワードなんて変更しないほうが良いぞ。下手に変更しちまって入力ミスってログインできなくなっちまうからな 長くて良いなら文章にするよね
吾輩は猫である名前はがもうひろし みたいに一部改変系の マイナンバーのpwがアルファベット大文字と数字しか受け付けない
一定回数エラーすると区役所まで出向かなければならない
誰だ?こんな阿呆なシステム考えた奴は? ハッシュ値使うんだろうから、幾らでも長く設定させて欲しいよね。 自分ちの郵便番号すらわからないのにパスワードとかもうお手上げ!
いい加減スマホの指紋認証くらい対応してくれよ! でも意味ある言葉ならべたら、辞書ですぐに解析できるだろ 解析ソフト使えば12桁の暗証番号なら0.2秒で解る
暗証番号も個人情報も有って無いもの。 >>153
もう量子コンピュータが実用化されてるから、すべてのパスワードは意味がない
対抗できるのは量子コンピュータで作ったパスワードだけ >>154
NASAも国防総省も現在でハッキングし放題だもんな
量子コンピュータを使って三菱をハッキングされたとか知らない人多すぎ >>144>>150
お前たちはその歳になってもまだそんなことを言っているのか
大事なのは時間
まずは時間が長くないとどうしようもない
その上でその時間でどの様にするかがくる いくら量子コンピュータでも表立ってアクセス過多だとIPSで検知される
今はこっそり入り込んだマルウェアがC&CサーバからウイルスをDLして中間者盗聴したりが主流 あいだみつをを
使ってる人も結構いるんじゃなかろうか?
Ningendamono0987654321 日本は漢字パスワードでいいのにな
我女子高生性交希望勃起珍歩なんてハッキングできないだろ pasuwaadopasuwaadopasuwaado 文字種が多い方が同じ長さだったら、よりセキュアなのは確かだろう
サービスによっては長さ制限とかあるのをやめて欲しいな いまだにノーツとWinを40日ごとに変更させられてる >>171
アプリ開発者がアホだと長い文字列を許容できない構文だったりするし
ソフトウェア側にも文字数制限あったりするからねえ パスワードって結局はハッシュ計算するよな
バイト列にしたら文字コードとか関係なくね? >誰でも知っているようなフレーズや名言の類、歌詞なども避けなければならない。
114514死亡 >>5
それな。
平仮名を使っていたら、外国人にはわからない。 日本語のパスワード
せんかくはにほんのこゆうのりょうどだどうだちゃんころこわいか >>177
パスワードは半角のみのところしか見たことがない
日本語にするとIMEが学習するからだめなのでは >>180
アルファベットと数字と記号しか使えなくてもカナ打ちすればいいんだよ
俺はそうしてる 8文字、アルファベットと数字と記号を1つずつ含む、3か月に1度更新
っていう会社のパスワード運用が糞過ぎてうんざり
xxxx_@04みたいな感じで最後の数字のところだけ3か月ごとに1増えてくパターン >>46
ほぼ同じパスワード使おうとするとそのワードは使えませんみたいなこと言われる 現状、最終的にはブルートフォースになるから正しいわな。 >>187
年月日+定型にすれば毎日変わるけど
それではダメなのか 秘密の質問って、
・自分以外も知ってる(母の旧姓とかは親族、初めて飼ったペットの名前とか会話の中で誰かに言ってる)
・電話で問い合わせたら恥ずかしい文言を言った結果、違いますって言われる羞恥プレイがあるあるらしい
→オペレーターが正否を判断できるってことは
暗号化されずに平分でデータベースに保存されてるってこと?
と思って、覚える気のないのを登録してたんだけど、
いざログインできなくなって、電話で秘密の質問訊かれたときに
「キーボードをぐちゃぐちゃに打った意味のない覚える気の無い文字列か、
『秘密の質問に正直に答えるわけ無いだろバカ秘密の質問とか使ってるシステムはアホだと思うクソシステム』
とかそういう文章だと思います」
って言ったらちゃんとで通った。 ■ このスレッドは過去ログ倉庫に格納されています
