複数単語のパスワードがあれば、ネットは本当に安全なの? 65
ストーリー by hylom
覚えやすいパスワードは結局アウト? 部門より
覚えやすいパスワードは結局アウト? 部門より
taraiok 曰く、
普段から複数のインターネットサービスを巡回し利用していると、そのサービス利用のためにはたくさんのパスワードが必要となる。このパスワードの生成には一般的には「とにかく長くてわけが分からない」ものか、ランダムに選ばれた複数のキーワードを並べた「マルチワードパスフレーズ」が有効だと言われている。マルチワードパスフレーズは覚えやすいというメリットもあり、わりとよく知られているパスワードの生成方法だ(gizmag、本家/.、強力なパスワードおよびパスフレーズの作成に関するヒント)。
しかし、ケンブリッジ大学の研究によればは、この「マルチワードパスフレーズ」の安全性には確固とした根拠がないという(Light Blue Touchpaper)。彼らの実験によれば、マルチワードパスフレーズは辞書を使用した検索攻撃に屈してしまう可能性が高いとしている。とくに現在はオンラインで適切な辞書が入手できることも解析が容易な一因として挙げている。
なお、この記事によれば多くのユーザーは完全にランダムなキーワードを組み合わせてパスワードを作るのではなく、自然な文章や意味になる二つのキーワードをつなげている例が多く見られたとある。
ちなみに本家/.タレコミ人は、結局はパスワードジェネレーターなどでランダムに生成されたパスワードに戻るハメになるのではないか、としている。
で、 (スコア:2)
ランダム生成パスワードをサービス別に生成して、
それを記憶してくれる脳みそはいつ開発されるんです?
「キーチェーン」埋め込み (スコア:1)
RFIDっぽい何かにキーチェーンを書きこんで掌かなんかに埋め込んで、リーダーに翳して認証とかになるんかねぇ。
Re: (スコア:0)
今でもUSB接続でUIDでキーボードとして認識されるパスワード記憶・入力デバイスがあったら欲しいんだけど誰か作ってくれませんかね。
生体認証とマスターキーでロック解除して、パスワード選んで入力を押すと。基本的にUSBキーボードが使えるデバイスなら何でも使えると言うような。
5万までなら出す。
Re:「キーチェーン」埋め込み (スコア:2, すばらしい洞察)
ちゃんとパスワード入力フィールドに合わせてからパスワードを発行しないと見える形でパスワードが垂れ流しになるのはどうかなぁと。
あとはキーロガーに対して全く無力なことも。
Re:「キーチェーン」埋め込み (スコア:1)
>パスワード選んで
そのUSBデバイス上のLED+選択用ボタンが必要なのか
OSからUSBデバイス上の何かにアクセスするのか
どっちも開発メンドクサイかも。
Re: (スコア:0)
OSからアクセスするんじゃ対応デバイスじゃないと動かないしセキュリティホールになりかねんので、
USBデバイス上にLCDなりなんなり仕込んでやるイメージで…。
やっぱりめんどくさいですよねー…。
いっそ安いスマフォをベースにした方がいいのかなー。
Re:「キーチェーン」埋め込み (スコア:1)
USB認証UIDクラスなんて規格、ないんかなぁ...。
Re: (スコア:0)
http://www.yubico.com/yubikey [yubico.com]
はどうでしょうか。
Re:「キーチェーン」埋め込み (スコア:1)
これとは組合せてませんが、LastPassでサイト毎のパスワードつくって、YubiKeyでロックすればかなり安全ですね。
# Google認証もサポートしてるらしいので、どうしようか考えてるところ
M-FalconSky (暑いか寒い)
Re:で、 (スコア:1)
まじめな話ですが。うちではランダム文字列にサービス名称から一定ルールでコードn文字付与してパスワードにしてる。
rootとか普段使わない(sudo使うからね)やつは昔からPasswordWalletに突っ込んでファイル分散保管。
Re:で、 (スコア:1)
これのこと?
http://www.mmm.co.jp/office/post_it/index.html [mmm.co.jp]
パスワードが破られたときの (スコア:1)
被害の期待値と、複雑なパスワードを忘れてしまった事による被害の期待値ではどちらが大きいんだろう?
Re: (スコア:0)
ある種の「画像類」を見るためのパスワードを同居人に知られた時と、見たいときに忘れた時の期待値でいいでしょうか?
Lastpassを使っているけど (スコア:1)
パスワードの使い回しだけはするまいと、パスワードジェネレータで生成してるけど、
結局覚え切れないからLastpassを使ってます。
でもそれはそれで心配なんだよなぁ。
ある業務で使ってるマスターパスワードはめちゃくちゃ長いので、
一時Yubikey [yubico.com]のstatic passphraseモードを使おうとしたこともあったけど、
USBメモリ持ち込み禁止規則により結局使えませんでした。
あ、YubikeyはUSBメモリじゃなくてUSB接続キーボードとして認識されるのだけど、
管理上USBコネクタに差すものはなんでもダメという規則になってるので。
というか、そもそもUSBコネクタはBIOSで殺されてる。
銀の弾丸は無いんだろうなぁ。
全てのサービスが二要素認証にできるわけでもないし。
二要素認証に関する何らかの標準的な規格ってあるんだっけ?
YubikeyみたいなUSBキーボードとして認識されるデバイスは過渡期にはいいと思うんですよね。
ところがプログラマブルではない。というのは言い過ぎだけど、静的なパスワードは2つしか設定できない。
スマートフォンがUSBキーボードとして認識されるならそういうアプリケーションを書けそうだけど、
それはそれで更にパスワード漏れの危険性が増すだけの気もする。
スマートキーボード?みたいなパスワード入力用の専用デバイスがあって、
そいつが指紋認証してくれれば良いのかな?
屍体メモ [windy.cx]
Re:Lastpassを使っているけど (スコア:1)
ランダムなパスワードとサービス名を組み合わせて独自のパスワードを作る、ということもやっていたのですが、どうもパスワードの使い回し感が強いので、同じくLastpassに今はなりました。
「強度の高いパスワードを、使い回しせずに運用する」となると、やっぱりLastpassのようなものが楽なんですよね。ただ、Lastpassはまだ利便性の方に妥協した手法だと思っているので、これで安心とは思えません。
銀の弾丸は無いんだろうなぁ。
完全に安心できるような方法は無いので、運用方法自体の安全性と合わせて、「(そのサービスを利用している)周囲よりも高い強度でのパスワード運用をする」という、あまり性格のよろしくないポリシーで個人的にはパスワード運用をしています。
なのでLastpassのようなサービスが一般的に使われ始めたら、またよりセキュアなサービスを探し求める、かもしれません。
アナグラム化や文字置き換え (スコア:1)
辞書アタックだけを避けるならアナグラム化すればいいんじゃないすかね。
アナグラム化したということと元の単語を覚えておけば、忘れても自分で類推できると思うけどダメ?
アナグラムをした上に記号や数字を割り入れるか置き換える化すれば、辞書からはどんどん離れていってパスワードハックに対する強度は上がるし。
たとえば
bluebird -> dbiulreb -> d6i?lre6
#前にいた会社では初期パスワードの発行時にこれと似たようなことをしてた。
Re:アナグラム化や文字置き換え (スコア:2)
そのようにして作ったパスワードを、複数サイトで使い回ししてたら、あっさりハックされましたとさ。
全サイトで別々にそうして作ったパス覚えるとかホント勘弁して欲しい。
Re:アナグラム化や文字置き換え (スコア:1)
どうやってハクられたのでしょうか、監視カメラで動画を取られたとかキーロガーかな。
パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。
生体認証とか併せて低コストで強度が高いのってある?
Re:アナグラム化や文字置き換え (スコア:2)
これで何か特定される?
Re:アナグラム化や文字置き換え (スコア:1)
そうですね、その前提&キーとなるアナグラム前の単語郡がバレるとハックされるかもね。
そしてプラスアルファの数字と記号は総当りする。
#できるかな?
Re:アナグラム化や文字置き換え (スコア:1)
「そのうちのどれかが簡単にクラックされれば」
この前提があるとなにもかも無意味っぽくなりそう。
で、どうしてます or どうすればいい?
Re:アナグラム化や文字置き換え (スコア:1)
「 複数サイトで使い回し」をやめる。
どんなに固いパスワードも、使い回した時点でアウトでしょう。
Re:アナグラム化や文字置き換え (スコア:1)
なるほど。
でもすべてのサイトで個別のパスワードを設定して覚えることってできます?
日常良く使うサイトを思いつくまま並べると
Amazon,tsutaya,クロネコ、佐川急便、ゆうびん、銀行、クレカ会社、図書館・・・
ぱっと思いついたのだけで30超えてます。
実際に使っているパスワードは基本5つで、それに多少変形加えても10は無いくらい。
日常良く使うサイトだとまず覚えているけど、ソレ以外たまにしか利用しないすぐに思い出せないサイトのパスワードだと基本のパスワードをどれかを当たるまで入れる。
そういうのを含めて全部違うパスワードにするというのは、すっかり記憶力減退している私の頭だと無理ですね。(諦め)
やるとしたらメモ帳かパスワードを管理するアプリなりなんなり併用することになるけど、それもなんだか危うい気がしています。
会社にもいるけど、見ててほんと頭いいなと思ってしまっている人たちはたぶん全部変えて使ってるんでしょうね。
この先年老いていくとパスワードが思い出せなくて困るシーンが増えそうだ。
#パスワード忘れ問い合わせはありがたい。
Re:アナグラム化や文字置き換え (スコア:1)
私の場合は、
・全サイト共通、秘密のパスフレーズ
・各サイト(サービス)個別の識別子
を連結したものをハッシュ化し、それをパスワードにしています。
例えば、パスフレーズがhogehoge、対象サイトが/.jなら、
「hogehoge-slashdot.jp」のmd5ハッシュを取ると
2a4c83905241482f3579a04266ded3b2
になるので、これをBase64エンコードした
KkyDkFJBSC81eaBCZt7Tsg==
をパスワードにする、という感じ。
これなら、パスワード管理アプリを使うのと違って、自身の頭の中だけで完結してますし、
覚えておかなければないパスフレーズは一つだけで、しかも覚えやすい文字列で全然問題ないですし、
あるパスワードが漏れても、そこから別サイトのパスワードが推測される心配はありません。
ただ、「サイト個別の識別子」だけはブレがあると困ったことになるので、
それだけは念のためメモってあります。
#そういうパスワード変換生成を行うperlスクリプトを作ってあるんだけど、
#それがない所でログインするのは困難というのが最大の問題だったり。
Re:アナグラム化や文字置き換え (スコア:1)
さすがです、ハッシュにエンコードまで・・・
それならまず安全だ。
#私の頭では絶対に無理 :-(
Re:アナグラム化や文字置き換え (スコア:2)
> ケンブリッジ大学の研究によれば
と聞いて、最初と最後の文字だけを一致させてアナグラムというのを考えた人は俺だけじゃないはず。
http://www.itmedia.co.jp/news/articles/0905/08/news021.html [itmedia.co.jp]
1を聞いて0を知れ!
単語? (スコア:1)
パスワードに単語を使っている時点で脆弱だと思いますけど。
Re: (スコア:0)
それを言い出したら、文字の組み合わせという時点で脆弱ともいえます。
Re:単語? (スコア:1)
「文字を組み合わせたパスワードシステム」
という仕様に対して、(ランダム文字列という選択肢に対して)脆弱だ、という意味でしょう。
そういうシステムに対して「文字の組み合わせを使わない」という選択肢はないのだから。
そういうカセ無しに「それを言い出したら」なら、「私」が最も脆弱です:)
ICカード (スコア:1)
キーワードを記録したICカードによる認証が一番楽そうだな。
これなら、数KBにもおよぶ長いキーワードでも覚える必要がないしね。
Re: (スコア:0)
紛失がなければそうですね。
Re:ICカード (スコア:1)
手に埋め込めばいいじゃない
---
手切断の恐怖が付きまといます
70年前 (スコア:1)
解決方法はNavajo [wikipedia.org]ですね。
わかります。
安全に十分条件はない (スコア:1)
「○○すれば安全」→間違い。○○の中身を検討するまでもない。
「○○を食べてダイエット」なら誰でもおかしいと…わかるならあんな簡単に売り切れたりしないか。
危険に十分条件はない (スコア:1)
「○○すれば危険」→間違い。○○の中身を検討するまでもない。
話を極論に限るんだったら、完全に安全な状態も危険な状態もあり得ないですね。
普通はそんな話しても無駄だから、誰もしないんだけど。
>「○○を食べてダイエット」なら誰でもおかしいと…わかるならあんな簡単に売り切れたりしないか。
カロリーの低いものを食べて、高いものを避ければ普通にダイエットできますよ。
低カロリーの素材をおいしく調理する本ならちっともおかしくありませんし、スタイルの良い人の多くは自分が食べる物に気を使っているんじゃないですかね?
いくら複雑にしても (スコア:0)
利用者の不安は解消されないなぁ。
たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。
各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。
Re:いくら複雑にしても (スコア:1)
たとえアルファベット小文字だけでも、26 ^ 100 ≒ 3.1 x 10^141 程度。 世界中にコンピュータを配置して1秒に100000000回ログインを試行できると仮定しても、すべての空間を試すのに 100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000年以上粘着する必要があります。
実際には記号数字も加えて更に文字が増えますし、あまりに頻繁にログインを試行するとしばらくロックされるでしょう。
Re:いくら複雑にしても (スコア:1)
mukashimukashiarutokoroniojiisantoobaasangaimashitaojiisanhayamaheshibakereniobaasanhakawahesentakuniikimashita
111文字、なんだ簡単じゃないか
#一文字間違ってるのはナイショだw
Re: (スコア:0)
でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。
一瞬で抜かれるかも。
Re:いくら複雑にしても (スコア:1)
でもルパン三世なら指紋を写しとった手袋で指紋認証システム突破するしなw
Re:いくら複雑にしても (スコア:2)
ワンタイムトークンでいかがですか?
フィッシングサイトに入力したパスワードがワンタイムトークンから発行された物であれば、
そのパスワードをいざ本番環境で悪用しようとした時には無効になっています。
ワンタイムトークンのアルゴリズムが盗まれなければいいんですがね。
Re:いくら複雑にしても (スコア:1)
でもよく考えたら指紋認証でもフィッシングは防げないや。指紋の情報をフィッシングサイトに送ってしまえば同じ事だ。
Re:いくら複雑にしても (スコア:1)
パスワードは向こうがこちらを認証する手段です。
フィッシングなどの中間者攻撃を避けるには、こちらが向こうを認証することです。
というわけでSSLです。
ただ、証明書やURLを目視で確認は見落としたり騙されたりする。
これの簡単な対策は、パスワード入れるときはブックマークとか使って決められたドメインにアクセスすること。
あと、以前はPetname Tool [mozilla.org]使ってたんですが、対応がfirefox3.6までだし、chromeに移ったしでもう使ってない。
似た様なの何かないかな。
あと、別の問題はありますが、ブラウザとかにパスワード覚えさせておけば、URLとの対で覚えてるからURLの違いに気付ける。
ただ、javascriptとかで最近そういうのが出来ないサイト増えてきた。
しかし、スパイウェアやルートキット相手だとどうしようもないですね。オンラインでつながってるだけでもリスクですし。
結局、こだわりすぎると究極には使わないという方向になってしまう。
逆に言えば、そのレベルのリスクは許容範囲ともいえる。
Re: (スコア:0)
盗まれても簡単に使えないようにできればいいと思うんだよね。
他の認証機構を使おうとしても、設備が普及してないせいでなかなか使えないけど、普通のパスワードの仕組みでも、たとえばIPなど接続情報と組み合わせて認証を通すってのは、ときどき見かけるよね。
ソニー銀行とかその系統かな。接続端末が制限されることになるけど、そんなにデバイス所有してないしね。
Googleも、ちょっと系統違うけど、携帯経由で発番された情報と組み合わせるとかやっているね。こっちはちょっと面倒だけど。
Re:いくら複雑にしても (スコア:1)
ソニー銀行のシステムを調べてみた。ログインする前に端末というかブラウザを登録するんだけど、 その時にパスワードとは別に、9文字以内のひらがなかカタカナで事前に登録しておいた質問の「答え」を 入力するんだね。当然「答え」は単語1個だろうから辞書攻撃に弱いし、攻撃者が身近な人間なら答えを推測できる可能性が高い。 「答え」がセキュリティとしてどのくらいの強度を持っているか客観的に評価できないので、これをセキュリティとして採用すべきではない。「秘密の質問」はよくあるシステムだけど愚策だね。
参考: http://security.srad.jp/story/11/01/18/0828241/ [srad.jp]
Google の登録時に携帯を使わせるのは CAPTCHA の一種じゃなかったかな?
Re: (スコア:0)
でも、「a」100文字だったら一発でビンゴ!1秒もかからずに解析完了となりますよ。
まぁパスワードが「z」100文字で、頭から昇順に調べていくのであればそんだけかかりますが・・・
パスワード解析ソフトってそこまで考えて調べますから、意外と早い段階でヒットしてしまう可能性はあると思います。
#ここのパスワードさえ思い出せずに・・・AC・・・
Re: (スコア:0)
100文字のランダム文字列をトライするのに何年かかるんだい?
ただの粘着には破れないでしょう。
Re: (スコア:0)
ただものじゃない粘着かもよ。ブルートフォースだけが手じゃないし、、。
履歴で、他で使われたかどうかわかるだけでも安心感は増すと思うけど。
Re: (スコア:0)
これでも実行してみて、気持ちを落ち着けてください。
Re: (スコア:0)
最低でもGPGPU仕様にすべきでは?