パスワードは長い方が堅固だって事は わかりました。
6文字以上40文字以内程度が多い中で、たまに10文字以内 もっと少ない8文字以内 なんてところもあります・・・
これじゃ あっという間に破られてしまうのでは と心配になります。
8文字 なんて言ってるサイトは、よっぽどセキュリティに自信があるのでしょうか??
だったら最高30~40文字設定出来るサイトは何なの?? って思います。
このパスワード設定の文字数の差がどこにあるのか教えて下さい。
よろしくお願い致します。。
ささった碧い星がとても痛いので、登場することにしました。
# と言っても、おおよそのことは書かれちゃってますが。
※解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間。
http://ascii.jp/elem/000/000/784/784387/index-2.html
というとてつもない速度でのパスワードのアタックを、普通に手に入れられるPCでできちゃうのがやばいぜ、って話です。
でも、普通のサイトにログインするときのことを考えてください。
パスワードをポチポチ打って、「ログイン!」ってやってから返ってくるのに、ちょっと待たされますよね。
仮に、0.01 秒待たされるとしたら(こんなに早いわけない)、一秒間に 100パターンしか試せません。
総当たりで行くとしたなら、先程の理屈の 3000万倍の時間がかかるはずなので、17年以上かかることになります。
No.1 で、きゃづみぃさんが書いた、「一日三回間違えたら」は極端にしても、千回間違えたら、くらいで十分にガードできます。
# という言い方は正しくないのですが、詳しくは後述
No.3 で JULY さんが書かれているように、やばいのはパスワードを記したデータが盗まれた場合です。
でも、文字数だけの問題じゃないんです。
パスワードは、普通のシステムでは、そのまま保存されていません。
例えば、「Fj3SiT6!」というパスワードは、そのまま保存されているわけでは無くて、こんな感じの文字列に変換して、保存されてます。
475e9d90f2b18f8ed9a5c99c955c69bb9b63d72abc3aed77b40921f0979822ad
元の文字列から、この長い文字列を計算で出すのは、パッとできるけど、長い文字列から元の文字列を計算では出せないような処理になってます(ハッシュ値計算って言います)。こういう処理がされてるから、「全ての文字の組合せをチャレンジする」みたいな攻撃になるんですけれど。
んで、さっきの長い文字列に、もう一回、同じ処理をすると、こんな結果が得られます。
ee4a4e61afedd1c094729b2601434a53de9a91cc544580b40b2363bedb65b43a
全然、別の文字列になりました。
この同じ処理を繰り返す、の回数を隠しておけば、アタックする人は、その全てを確認しなければいけなくなります。
「1000回くらいやってるかもしれない」と想像させたら、「1秒間に33億パターン」を「1秒間に330万パターン」まで減らせます。
解読時間も1000倍になります。
こういうのを「ストレッチング」って言います。
他にも対策があって、「ソルト」っていうのがあります。
パスワードの「Fj3SiT6!」に、別の文字をくっつけてさっきの計算をやります(お塩をチョイ足しです)。
例えば、hatena という文字列をくっつけると、
f77a21e3441127d07b68747aa766fc1306fc134e51ce4c60fb555e7f824a5029
また、全然別の文字列になります。
くっつけてる文字列が分からなければ、8文字のパスワードが実質8文字以上のパスワードになっているので、総当たりでアタックをかけてくる人は、パスワードを当てるまで、かなりの時間がかかることになります。
逆に、パスワードを解析しようとする人も、工夫をします。
総当たりで最初からチャレンジするのではなく、ありがちなパスワードを最初に試してみます。
例えば、こんなの。
http://itpro.nikkeibp.co.jp/article/NEWS/20110216/357251/
http://www.j-cast.com/kaisha/2011/12/01114760.html?p=all
http://screwdesk.com/wp-content/uploads/2013/04/top-10000-passwords.txt
http://andres.com/wp-content/uploads/data.txt
ebookjapan というところであった、パスワードアタックについての報告。
http://www.ebookjapan.jp/ebj/information/20130405_access.asp
・前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。
-つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。
-そのように判断した根拠は、一つのログインID(メールアドレス)について試行するパスワードの数の少なさです。
○ ログイン成立分
IDあたりPW試行回数 該当ID数 1 386 2 347 3 37 4 4 5 5 注) 1つのログインIDについてPWを試行した回数は最大5回までであり、1回しか試行していないのに正当したアカウントが半数近くを占めている。
【結び】
パスワードの長さだけじゃなくて、他にも気にしなきゃいけないことがたくさんある。
サービス提供者も、利用者も。
パスワードは 短くても セキュリティを高くすることは できます。
たとえば 1日に 3度間違えたら、ログインできないとか。
長ければ長いほど 入力ミスする可能性は 高くなります。
また、パスワードを 覚えるリスクも高くなってきます。
http://blogs.itmedia.co.jp/niikura/2011/03/post-4ef1.html
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1289561607
同じような質問をされている方がいました。
違うところですけど。
つい最近(1~2週間位前)だと思うんですけど、6文字17秒なんて記事読んだんです、、
今必死で確認に行ったんだけど、流石 私!!! もう探し出せやしない(~_~;)
これ、かな?
http://ascii.jp/elem/000/000/784/784387/
自信が無いから、コメント欄で」というのは無しでお願いします。
是非、回答欄に書いてください。← にお星さま投げつけてきました ( ̄∀ ̄*)イヒッ
見たサイトは違ってたけど、こんな感じのです。
狙われたサイトの中にはJRのもあったんですね・・・(゚Д゚)
使い回しの怖さがよくわかりました。。
で 上記の件よろしくお願いします<(_ _)>”
セキュリティの強さをどの程度に設定するかという、システム設計の差によるものと思います。
長くすればセキュリティの強度は強まりますが、パスワードを記憶・保存するユーザーの負担も重くなります。また、システムでパスワードを保存するサーバーの記憶領域も多く必要になります。
パスワードの文字数が少ないサイトは、セキュリティの強さを追求する必要があまりないサイトかもしれません。
非常に長い文字数のパスワードを力ずくで破るためには、コンピューターで何度も挑戦しなければなりませんが、悪意のあるハッカーがそこまでして破って、得になるというサイトでなければ、非常に長くするのは上記のようなデメリットの方が大きくなります。
8文字が短いとのことでしたが、一般的な、数字、英小文字、英大文字の組み合わせで、1文字につき62通りあります(アルファベット26文字×2+数字10文字)。これが8文字になると「62の8乗」(62を8回かけたもの)となりますから、組み合わせの数は非常に多くなります。
これだけのものを時間をかけて破るかどうかを考えると、十分な桁数かどうか検討する材料になるのではありませんか。
そうですね。アルファベットでも大文字か小文字かのどちらかしか使えなかったり、記号が使えなかったりすると、組み合わせの数に影響しますから、強さが弱まります。
8桁あれば十分と言われていたのはかつての話ですので、いま提供されるものは最大の桁数は長い方がよいのではないかと思います。他の皆さんがおっしゃるように、桁数以外も考慮されている必要がありますね。
ごめんなさい お返事下さってたの気付かなくて_(._.)_
お初にお目にかかります。。
ごあいさつが後先になってしまいましたが、これからもよろしくお願い致します☆
オンライン・クラッキング(対象システムに対して、ログイン試行を繰り返す)に関しては、きゃづみぃ さんが書かれている通り、短めのパスワードでもセキュリティレベルを高くする事は可能です。
ただ、
たとえば 1日に 3度間違えたら、ログインできないとか。
を、仮に「同一アカウントに対して3度間違えたら」としたら、正規のユーザもログインできない状態が発生する事になります。接続元の IP アドレスと組み合わせて、とすれば、その可能性は低くなりますが、例えば、アプリケーションにアカウント名とパスワードを覚えさせるような物を使っていて、そっちの修正をせずにパスワードを変更してしまうと、本人が意図しなくてもロックアウトされる可能性もあります。
こういった利便性の低下をどうやって避けるか、というのはサービス側にとっては課題になります。例えば、あるユーザが、普段は接続して来ない海外の IP アドレスから接続してきた場合には、通常のパスワード認証の他に、携帯デバイス等を使った2要素認証要求することで、普段の利便性を損なわずに、警戒すべき状況にはプラスアルファの認証処理を要求する、といった事もあります。ただ、こういった仕組みは、サービスの提供側に取っては大きな負担になる(「警戒すべき状況」を判断するためのチューニングが常に必要だったり、システムの導入・運用費用がかかる)ので、かなり大規模なサービスか、非常に高い信頼性・機密性が必要な場合に限られます。
以上が、オンライン・クラッキングの場合で、もう一つ、オフライン・クラッキングというのがあります。これは、サービス側が保管しているパスワード情報が漏れてしまっている場合です。多くのサービスではユーザのパスワードをそのまま保管しているのではなく、何らかの暗号化に類する処理を行い、元のパスワードが何かが分からないようにしています。
この「暗号化に類する処理」をした後のパスワード情報から、元のパスワードを見つけ出すのがオフライン・クラッキングです。この場合、単純にパスワードから同じ計算処理を行って、手元にあるパスワード情報と合致するかを確認する、という事を繰り返すことになるで、オンライン・クラッキングの時のような「何回失敗したらログインできない」という対策は意味がありません。
このような最悪の事態でも、元のパスワードを復元できないようにするには、パスワードの長さを長くする事が有効です。
去年末に Windows のログオン時のパスワードで、8文字以下なら 5.5 時間で元のパスワードを見つけられる、という話が出たのですが、これはまさにこの「オフライン・クラッキング」での話でした。手前味噌ですが、その事に関してちょっと書いたことがあります。
こんなに早く、この日が来るとは... - JULYの日記
この「8文字以下 5.5 時間」のシステムを使っても、10 文字のパスワードなら年単位の時間がかかります。
で、ようやく本題w。
8文字 なんて言ってるサイトは、よっぽどセキュリティに自信があるのでしょうか??
個人的な見解ですが、自信があるのではなく、「知らない」だけだと思います。
使える文字に制限が有るのは、Web サイト側の作りが面倒になるので「記号は一切使えません」としてしまう、というのは分からなくもないですが(とはいえ、作り手の技術力の無さを自ら白状するような感じがしますが)、パスワード長の上限を短くすることにメリットはありません。
強いて言うと、古い UNIX の場合に、有効なパスワード長が8文字までだった、という事はありますが、今時、そんな制限があるシステムは無いですので、そういった古いシステムを引きずっている場合でない限り、全く意味がありません。ましてや Web サービスの場合、サービスのアカウントと OS のアカウントを結びつける事は、普通、やらないので、パスワード長は Web サービスを作る側が勝手に決める事ができます。
昨今、「パスワードを使いまわすな」という事が重要になってきていますが、パスワード長の最大文字数が小さいところは、ユーザ側が「このサイトから漏れたらヤバいことになるかもしれない」という覚悟をもって使った方が良いです。私もそういうサイトを一つ知っていますが、ここのパスワードはまっさきに他と違うパスワードにしました(今は、パスワード管理ソフトを使ってますが)。
テクニカルな話が多くてすみません。
> わたしが心配してたのは、「オフライン・クラッキング」と言うのだと思います。
> 今回Yahoo ID はこれされたんですよね??
Yahoo ID の流出経路ははっきりしていませんが、流出した情報を元に「オフライン・クラッキング」が可能な状態になった、ということになります。なので、入手した人間がオフライン・クラッキングで元のパスワードを復元する前に、パスワードが変更できるか? が重要です。
で、流出した時点でのパスワードが短いものであれば、比較的短時間に元のパスワードが見つかるので、急いで変更する必要がありますが、十分に長いパスワードを設定していれば、ある程度、のんびりしていても大丈夫、ということになります。
> あのパスワードを管理してくれるのはいいですよね(^_-)
> ただ 心配性の私は あのパスワード盗まれたらどうしようヾ(´*д*`)ノ って日々思ってるんですけど^_^;
パスワード管理ソフトのパスワードは、確かに最重要秘密事項になります。具体的なパスワード管理ソフトによって違いますが、PC 上のファイルとして各パスワード情報を保存するタイプのものであれば、パスワード管理ソフト用のパスワードが流出する可能性は、
・自ら漏らす。
・キーロガーなどのマルウェア(いわゆるコンピュータウィルス)に感染している。
・ファイル自体が流出して、オフライン・クラッキングされる。
といった経路になります。最初の項目は論外として、
・マルウェアに感染しないように、ソフトウェアのアップデートをしっかりやる。
・パスワード管理ソフトのパスワードは、十分に長いパスワードにする。
という点を気を付ける必要があります。
今日は大変お世話になりました!!
私がご回答を理解出来ないばかりに、お手数をお掛けしました_(._.)_
丁寧な補足を ありがとうございます☆
OCN もっと文字数を増やして欲しいものです(・_・;)
破られるまでの時間稼ぎが出来る位に・・・
パスワードは定期的に変更して、有事に備えたいと思います^^
ありがとうございました! 感謝致します<(_ _*)>
文字数だけでなく、文字の種類や並べ方でもパスワード破りの難易度は変わります。
例えば英小文字だけで、tokyodisneyland なんていう意味のある文字を15個ならべるよりも、意味もなく様々な種類の文字がランダムに混じっている、Fj3SiT6! なんていう8文字のパスワードのほうが破られにくいと考えられます。
お金が絡んでいるなどのセキュリティが非常に重要なサイトでなく 遊びをメインにしたものなら、変に長いパスにするより、「いろんな種類混ぜてね」と断りを入れた上で パスワードの強度判定を付けてあれば、8文字以内でもありかなと個人的に思います。(キャッシュカードの数字4桁より よっぽどまし^^;)
パスワード強度判定は下記のようなサイトでも調べられます。
http://www.benricho.org/password_meter/
パスワードの作り方としては、「意味のある文章の頭文字で作る」というのをウェブで知って、覚えやすくていいなあと思いました。
例えば「富士山世界遺産登録!」→「Fj3SiT6!」
マイパスワードを使い始めて(パスワードの強度判定も出来る優れもの^^)
で 疑問に思ってたことが ももんがらす様のご回答の中にあった気がします!!
目一杯がんばって作った30文字が 判定では中クラスの”適正” なのにそんなに考えないで作ったそれこそ8文字や10文字が ”強い” だったり・・・
で多分私は何かの法則を知らずに ガムシャラに羅列してるだけなんじゃないかと、、
ももんがらす様のご回答を参考にパスワードを作ってみたいと思います♪
ありがとうございました☆
ささった碧い星がとても痛いので、登場することにしました。
# と言っても、おおよそのことは書かれちゃってますが。
※解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間。
http://ascii.jp/elem/000/000/784/784387/index-2.html
というとてつもない速度でのパスワードのアタックを、普通に手に入れられるPCでできちゃうのがやばいぜ、って話です。
でも、普通のサイトにログインするときのことを考えてください。
パスワードをポチポチ打って、「ログイン!」ってやってから返ってくるのに、ちょっと待たされますよね。
仮に、0.01 秒待たされるとしたら(こんなに早いわけない)、一秒間に 100パターンしか試せません。
総当たりで行くとしたなら、先程の理屈の 3000万倍の時間がかかるはずなので、17年以上かかることになります。
No.1 で、きゃづみぃさんが書いた、「一日三回間違えたら」は極端にしても、千回間違えたら、くらいで十分にガードできます。
# という言い方は正しくないのですが、詳しくは後述
No.3 で JULY さんが書かれているように、やばいのはパスワードを記したデータが盗まれた場合です。
でも、文字数だけの問題じゃないんです。
パスワードは、普通のシステムでは、そのまま保存されていません。
例えば、「Fj3SiT6!」というパスワードは、そのまま保存されているわけでは無くて、こんな感じの文字列に変換して、保存されてます。
475e9d90f2b18f8ed9a5c99c955c69bb9b63d72abc3aed77b40921f0979822ad
元の文字列から、この長い文字列を計算で出すのは、パッとできるけど、長い文字列から元の文字列を計算では出せないような処理になってます(ハッシュ値計算って言います)。こういう処理がされてるから、「全ての文字の組合せをチャレンジする」みたいな攻撃になるんですけれど。
んで、さっきの長い文字列に、もう一回、同じ処理をすると、こんな結果が得られます。
ee4a4e61afedd1c094729b2601434a53de9a91cc544580b40b2363bedb65b43a
全然、別の文字列になりました。
この同じ処理を繰り返す、の回数を隠しておけば、アタックする人は、その全てを確認しなければいけなくなります。
「1000回くらいやってるかもしれない」と想像させたら、「1秒間に33億パターン」を「1秒間に330万パターン」まで減らせます。
解読時間も1000倍になります。
こういうのを「ストレッチング」って言います。
他にも対策があって、「ソルト」っていうのがあります。
パスワードの「Fj3SiT6!」に、別の文字をくっつけてさっきの計算をやります(お塩をチョイ足しです)。
例えば、hatena という文字列をくっつけると、
f77a21e3441127d07b68747aa766fc1306fc134e51ce4c60fb555e7f824a5029
また、全然別の文字列になります。
くっつけてる文字列が分からなければ、8文字のパスワードが実質8文字以上のパスワードになっているので、総当たりでアタックをかけてくる人は、パスワードを当てるまで、かなりの時間がかかることになります。
逆に、パスワードを解析しようとする人も、工夫をします。
総当たりで最初からチャレンジするのではなく、ありがちなパスワードを最初に試してみます。
例えば、こんなの。
http://itpro.nikkeibp.co.jp/article/NEWS/20110216/357251/
http://www.j-cast.com/kaisha/2011/12/01114760.html?p=all
http://screwdesk.com/wp-content/uploads/2013/04/top-10000-passwords.txt
http://andres.com/wp-content/uploads/data.txt
ebookjapan というところであった、パスワードアタックについての報告。
http://www.ebookjapan.jp/ebj/information/20130405_access.asp
・前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。
-つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。
-そのように判断した根拠は、一つのログインID(メールアドレス)について試行するパスワードの数の少なさです。
○ ログイン成立分
IDあたりPW試行回数 該当ID数 1 386 2 347 3 37 4 4 5 5 注) 1つのログインIDについてPWを試行した回数は最大5回までであり、1回しか試行していないのに正当したアカウントが半数近くを占めている。
【結び】
パスワードの長さだけじゃなくて、他にも気にしなきゃいけないことがたくさんある。
サービス提供者も、利用者も。
(;゜0゜)!! いつも何か面白いものを貼ってくれる陽気なお兄さん~♪
位に思っていたんですけど(*゚0゚)ハッ
今度からは(空席だらけの)PCの先生と言う事で 是非(__)
よく暗号に変えて送信 て文言を見るけど何の事だか知らなかったんです・・
あんな感じになって送られてくんだぁ(・。・;
じゃ逆に このサイトは暗号になってません みたいなの出る事あるけど、あれはモロ そのまんま送信されちゃうってことなんですね(~_~;)
あんまり深く考えず送信してました、、何か怖い・・・・・・・
貼って下さったのはとても勉強になりました!
また、わかり易く解説して頂けたので、とても助かりました(^^)/
最近テレビで ボブ・サップがネットバンクに1億円貯金してる っての見ました。
セキュリティは大丈夫なんだろうか(‐”‐;) 大きなお世話か(^^ゞ
ありがとうございました!!☆
(;゜0゜)!! いつも何か面白いものを貼ってくれる陽気なお兄さん~♪
2013/06/26 13:25:37位に思っていたんですけど(*゚0゚)ハッ
今度からは(空席だらけの)PCの先生と言う事で 是非(__)
よく暗号に変えて送信 て文言を見るけど何の事だか知らなかったんです・・
あんな感じになって送られてくんだぁ(・。・;
じゃ逆に このサイトは暗号になってません みたいなの出る事あるけど、あれはモロ そのまんま送信されちゃうってことなんですね(~_~;)
あんまり深く考えず送信してました、、何か怖い・・・・・・・
貼って下さったのはとても勉強になりました!
また、わかり易く解説して頂けたので、とても助かりました(^^)/
最近テレビで ボブ・サップがネットバンクに1億円貯金してる っての見ました。
セキュリティは大丈夫なんだろうか(‐”‐;) 大きなお世話か(^^ゞ
ありがとうございました!!☆