internet-g7f73229ac_640
1: 2023/03/16(木) 18:26:37.61 BE:306759112-BRZ(11000)
sssp://img.5ch.net/ico/kita1.gif
しんやさん☯定時退社 @hangstuck
弊社セキュリティ研修

問:
下記のどちらが強力なパスワードですか?

1.「w6!j38?pa7J」
2.「CanYouCelebrate?」

正解:
1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。




セキュリティ研修で「w6!j38?pa7J」と「CanYouCelebrate?」ではどっちが強力なパスワードなのかという問題の答えが後者だった
https://togetter.com/li/2101633

4: 2023/03/16(木) 18:27:50.40
パスワードだらけのシステムこそ問題がある

そもそもパスワードを覚えるのは無理
同じパスワードを使いまわしするなら別だが、利用システムごとに異なるパスワードを全て記憶しておくことは不可能だ

そうなるとパスワードを別の方法で記録しておかなければならないが、その記録の取り出しにもセキュリティが必要になる

鍵の保管場所に鍵をかけて、さらにその鍵の保管にも鍵をかけないといけない

全くバカバカしい
早くパスワードの使用を禁止して、記憶や記録ではなく、精度の高い生体認証のみに変更すべき

77: 2023/03/16(木) 20:08:01.52
>>4
その繋ぎとして現在はパスワードが必要なんでしょっと

6: 2023/03/16(木) 18:28:23.93
fack you

136: 2023/03/17(金) 05:45:35.10
>>6
単語3つ、しかも文章として成立するとか、辞書攻撃で簡単に突破されそうだが。

7: 2023/03/16(木) 18:28:39.92
自分の中で法則作って、それをサイトごとに使い分けてるわ

16: 2023/03/16(木) 18:32:42.81
>>7
俺も同じ
特定のルール決めとくと忘れないしサイトごとにパスワード変えられるしいいよな

22: 2023/03/16(木) 18:34:43.74
>>16
俺もそれ。でも、たまに設定制限あるサイトで困る

9: 2023/03/16(木) 18:30:10.55
桁数がちがうのに比較できるのか

10: 2023/03/16(木) 18:30:25.56
論点変わっとるがな

28: 2023/03/16(木) 18:38:20.58
>>10
変わってないぞ
総当たり攻撃だろうから長ければ長い方がいい
でも似たようなパスワードを別のサイトで使っていて流出した場合はその限りでない
「CanYou+A?」でパスワードを使っていた場合、先ずはAの動詞だけを辞書攻撃すればいいと推測できる
あくまで前提条件がなければ長いパスワードこそ強力という話

78: 2023/03/16(木) 20:08:41.80
>>28
文字の長さの問題じゃなくて覚えやすさになってるがな

15: 2023/03/16(木) 18:32:42.78
この1の方みたいなパスワードも場所によっては使ってるけど
頻繁に使ってれば忘れなくないか?

17: 2023/03/16(木) 18:33:16.63
単純に長い方がいいだろ
漢字使えりゃいいんだけどなぁ

18: 2023/03/16(木) 18:33:22.69
辞書アタック知らんのか

19: 2023/03/16(木) 18:33:47.79
パスワードとしてどちらが有効なのかって話なのに
覚えやすいからとか

23: 2023/03/16(木) 18:35:08.61
なんか頭の悪い回答だな…

24: 2023/03/16(木) 18:35:39.61
どうせ使いまわせないからランダムでいい

26: 2023/03/16(木) 18:35:54.36
自動生成した文字列にしてるわ

27: 2023/03/16(木) 18:37:51.62
どうせChromeのパスワードマネージャに覚えさせるんだから1でいいだろ

30: 2023/03/16(木) 18:39:13.02
パスワードなんて自動生成した奴を使うから覚えてないよ。

31: 2023/03/16(木) 18:39:37.25
頭文字大文字にしろとか記号含めろとか数字入れろとか文字数xx以内以上とか、俺の法則を崩そうとするサイトは滅べ

37: 2023/03/16(木) 18:41:53.77
>>31
パスワードジェネレータで設定して作ればいいだけでは?
パスワードマネージャーと一部のアカウント以外は普通覚えないよ

32: 2023/03/16(木) 18:39:56.40
日本語をローマ字表記にすれば海外向けには
そこそこのセキリティ強度なのでは?

33: 2023/03/16(木) 18:40:03.41
CanYouCelebrate?CanYouCelebrate?
大事なことなので2回言いました。これだけで大幅セキュリティアップです。

38: 2023/03/16(木) 18:41:55.15
>>33
16文字以内で入力してください
?は使用できません

34: 2023/03/16(木) 18:40:49.72
qwerasdfzxcv1234
最強

40: 2023/03/16(木) 18:42:21.85
長いほうが総当り攻撃に強いから長い方

41: 2023/03/16(木) 18:42:39.26
2は安室が使ったら解かれる可能性ある

44: 2023/03/16(木) 18:44:09.54
覚えにくいじゃねえんだよ覚えるんだよ

45: 2023/03/16(木) 18:44:12.54
パスワードに漢字使えるようにすればそれだけで格段に強いパスワード作れるのに

46: 2023/03/16(木) 18:44:59.85
逆に覚え易すぎだろw
あえてスペルを間違える方が良さそう

47: 2023/03/16(木) 18:45:44.97
基本長さが強さだからな
ただし辞書にある単語だけだと単語をくっつけて推測されるから
can0you1celebrate2?
とかにすればよい

54: 2023/03/16(木) 18:51:52.86
パスワードアタックは単語辞書参照もあるだろよ

58: 2023/03/16(木) 18:54:06.64
この辺は全部パスキーで一掃されたらいいよ
昔はパスワードなんて秘密の文字列入力してたんだよって笑い話になる

59: 2023/03/16(木) 18:57:24.27
前者のはPCにメモを貼るから弱い

61: 2023/03/16(木) 18:59:41.63
昔持ってた車のナンバーをもじって記号も入れてるのにしてるから
そこそこ長いし覚えられてる

64: 2023/03/16(木) 19:21:58.54
kur0nek0とかああいう方式オススメ
それに好きな選手の背番号とか武将の仕えてる大名を足したり

65: 2023/03/16(木) 19:22:53.40
Eを3にしたりAを4にしたりGを5にしたりQを9にしたりすればいいじゃん

71: 2023/03/16(木) 19:41:58.12
大前提が社内研修だから会社としてパスワードマネージャーを導入できないなら2だな
辞書アタックが怖いとはいえオンラインなら入力回数制限で良いわけだし

72: 2023/03/16(木) 19:57:59.25
パスワードって(自治体名)2023とかそういうのが最強ときいた

74: 2023/03/16(木) 20:00:09.95
今時総当たりなんてシステム側でブロック

80: 2023/03/16(木) 20:12:38.76
え、辞書攻撃でやられるだろ

83: 2023/03/16(木) 20:38:46.44
can-you-celebrate?にしてギリ使えるレベルだろ

86: 2023/03/16(木) 20:42:58.96
綴りを間違えて使ってたフレーズが強力だった件

118: 2023/03/16(木) 23:59:24.96
>>86
確かに。

90: 2023/03/16(木) 21:11:46.89
P@ssw0rd

93: 2023/03/16(木) 21:15:39.21
記号を使わないと気が済まない

>>90
そういうのはパターン総当たりに含まれてるから即見破られる

95: 2023/03/16(木) 21:27:17.94
パスワード管理アプリのパスワードを忘れる

103: 2023/03/16(木) 21:54:36.34
パスワードなんてもうchromeのデータ飛んだら終わる

104: 2023/03/16(木) 21:56:21.20
パスワード管理ソフトに委ねてるけど
時々コピペ出来なくしてるサイトやアプリがある
いちいち手入力を求められる
誰の為のパスワードなのかな?

107: 2023/03/16(木) 22:01:01.27
>>104
パス用のハードマクロから出力すればオンラインを通じたアプリを通さずに安全に素早く入力できるぞ

105: 2023/03/16(木) 21:58:49.37
最近だと桁数関係なくなったからな
フロントでストレッチかけてバックでも再度ソルトストレッチかけてから保存される。ソルトが固定文字列なところは今だに大小わけてとか8文字以上とかアホなことをしている

106: 2023/03/16(木) 21:59:06.76
大文字を要求してくるとこマジでうざい

108: 2023/03/16(木) 22:01:07.81
どこにでも使い回せるパスワードルールを作りたくてもサイトによってルールが真逆だったりするのがムカつく
A 6文字までにしろ B 8文字以上にしろ
A 特殊文字を必ず入れろ B 特殊文字は使うな
A 数字を必ず入れろ B 数字を入れるな 

131: 2023/03/17(金) 03:52:27.16
>>108
中にそのサイトやサービスの名称を混ぜるとそれだけで弾かれるところもあるな

112: 2023/03/16(木) 22:51:21.54
桁数が多ければ多いほど良いのよ
そんだけ

114: 2023/03/16(木) 23:54:15.03
名前プラス実家の電話番号にしてる

148: 2023/03/17(金) 11:33:29.85
>>114
とてつもない鴨で草

115: 2023/03/16(木) 23:56:07.44
大体、総当たりなら、大抵は最初に辞書アタックをするからな
後者の方が弱い傾向が強い

119: 2023/03/17(金) 00:02:35.99
大文字小文字記号を使って文字数が多い

今はどうせブルートフォースを使ってるんだからフレーズ自体に意味が通じるかどうかって意味がない
大事なのは文字種と文字数

これさえ満たしておけば覚えやすいほうが管理上のリスクも少ない

121: 2023/03/17(金) 00:32:16.24
前の会社の社員番号にしてる

124: 2023/03/17(金) 01:14:22.79
>>121
危ねえなー、チェックディジット付けても高々7,8桁の数字だろ。
と思ったが、こういう数字だけPWも逆に意表を突いてアリなのかな?

122: 2023/03/17(金) 00:44:37.08
本人ですら入れなくなる恐れがある1の方が圧倒的に強力なのは言うまでもないだろ

128: 2023/03/17(金) 03:06:20.43
>>122
他人からしたら推測できるレベルはどっちも同じ。長い分2の方が強力ってこと。

127: 2023/03/17(金) 03:04:40.57
2を予測できるパスワードとか言ってる奴はなんなんだよ。超能力者か?

129: 2023/03/17(金) 03:44:17.75
>>127
一般的なワードを使うことそのもの、文章として成立するなら尚更が、辞書攻撃に対する脆弱性だから
不規則文字列とはアプローチが違うだけ

140: 2023/03/17(金) 10:07:52.65
この問題作った人辞書攻撃という古典的な手法を知らなさそう

154: 2023/03/17(金) 18:59:29.74
チャットGPTに聞いてみる

164: 2023/03/18(土) 10:16:29.28
正しいのは1じゃね
キーロガー仕掛けられて使用頻度高いキーがバレたら単語はヤバい
パスの張り出し問題視されるけどオンライン攻撃されない限りバレないからな
引き出し内に貼るように言えば解決するし

167: 2023/03/19(日) 13:52:30.23
だいぶ前に会社のシステムでパスワードが暗号化されてなくて、ユーザーテーブルのパスワード列を見ると面白かったな。

180: 2023/03/19(日) 16:16:14.53
canまで分かったら5分以内に突破できそう。

引用元 : 「w6!j38?pa7J」 と 「CanYouCelebrate?」 では、どっちが強力なパスワードなのか? [306759112]