225
北河拓士🔰 @kitagawa_takuji

NISTで2003年にパスワードの複数文字種混在や定期変更を推奨するガイドラインを書いた人が間違いを認め後悔していると発言。 wsj.com/amp/articles/t…

2017-08-08 13:18:31
北河拓士🔰 @kitagawa_takuji

セキュリティ関連のニュースを中心にテキトーにつぶやきます。 初心者🔰ですがよろしくお願いします。

リンク WSJ The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d! Bill Burr’s 2003 report recommended using numbers, obscure characters and capital letters and updating regularly. As his advice is overturned, he feels regretful. 7 users 33739
北河拓士🔰 @kitagawa_takuji

NISTの新しいガイドラインでは「定期変更はすべきでない」ばかりが注目されているが、それ以外にも「異なる文字種の混在などのルールを強要してはいけない」「少なくとも64桁以上を使用可能にしなければいけない」という項目も加えられている。

2017-08-08 13:22:54
北河拓士🔰 @kitagawa_takuji

文字種が混在した覚えづらく打ち難いパスワードよりも、覚えやすい複数の単語を組み合わせた長いパスフレーズの方が安全ということ。

2017-08-08 13:30:42
北河拓士🔰 @kitagawa_takuji

例えば「m^2EsZq1」より「yoshigyusutabajiroumashimashi」(吉牛スタバ二郎マシマシ)の方が覚えられるし安全。簡単な単語でも4つ組み合わせれば、まず破られることはないと言われている。最大長が16桁等だと、このようなパスフレーズが使えない。

2017-08-08 13:35:46
北河拓士🔰 @kitagawa_takuji

特にスマホだと数字や記号を打つのにキーボードを何度も切り替えねばならず入力に時間が掛かる。小文字だけで十分長い方が短時間で入力出来る。 単純なサーチ空間の比較では、大文字小文字数字記号混在の8桁より小文字のみ12桁の方が強度が強い。

2017-08-08 13:53:28
北河拓士🔰 @kitagawa_takuji

小文字26種、大文字26種、数字10種、記号33種の95種で、8桁だと95^8=6704兆7809億 通り 小文字26種の11桁だと、26^11=3817兆1582億 通り、12桁だと、26^12=9京9246兆1149億 通りで小文字12桁にすると大小数字記号8桁より強くなる

2017-08-08 15:58:55
北河拓士🔰 @kitagawa_takuji

小文字26種、数字10種、記号33種の69種で、8桁だと69^8=521兆3542億 通り 小文字26種の11桁だと、26^11=3817兆1582億 通り、 小文字数字記号8桁だと、小文字11桁の方が強い。

2017-08-08 16:05:19
北河拓士🔰 @kitagawa_takuji

NIST Special Publication 800-63B Digital Identity Guidelines pages.nist.gov/800-63-3/sp800… pic.twitter.com/ggcCqHu5Hm

2017-08-08 21:49:35
北河拓士🔰 @kitagawa_takuji

複雑なパスワードとパスフレーズの違いを解説したカートゥーン 「Tr0ub4dor&3」は覚えられないし、3日でクラックされる。「correct horse battery staple」だと覚えられるし、クラックに550年掛かる。 xkcd.com/936/

2017-08-08 22:00:46
リンク xkcd.com xkcd: Password Strength 13 users 30766

※日本語版解説記事

リンク WSJ Japan あのパスワード規則、実は失敗作だった パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。 1226 users 4628

みんなの反応

ふぉーてぃないなー @49ermania

ごくごく真っ当で理論的。

2017-08-08 16:12:48
0-が @ogggKFX

覚えやすいけどくっそながい方がいいのか

2017-08-09 18:52:33
美優 @996932

辞書攻撃的なやつも組み合わせ増やせば避けられるってことか。 >RT

2017-08-09 22:19:26
💉名取らびりん🍆 @labyrinthu

そりゃパスワードクラックが基本総当りだとすると桁数多いほうが解析に時間かかるよね

2017-08-09 11:33:34
大山ゆっけ(三昧の鈴木佑輔) @trinity_site

総務省あたりが推奨ガイドラインとして出してくれねえかな

2017-08-09 10:29:15
まっくさんⓂ️ポルプリマスター @mac43chan

じゅげむじゅげむごこうのすりきれ…

2017-08-09 10:42:39
いりじうむ @irid_v2

じゅげむじゅげむごこうのすりきれ・・・ってパスワードにしたら、システムごとにどこまでで設定したか忘れてログインできなくなった

2017-08-09 10:03:43
転倒小心 @tentousho

これ聞いても多分いろんなところで「そんなこといまさら言われても…」って困るだろなー

2017-08-09 23:00:39
マル@(「・ω・)「がおー @maru_maru_3dayo

こりゃ近いうちに入力系の大改修とかありそうな あと大事故

2017-08-08 19:21:06
かえざくら @kae_sakura

自分もこんな感じやな。文字列のローマ字打ちって覚えやすいし長い文字列にもなる。 で、だ。大文字小文字を混ぜろとか記号を入れろだとかいうのだるい

2017-08-09 21:52:00
1 次へ