複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう https://t.co/4X65ROvI1n pic.twitter.com/GX8RwVvTgU
— PC Watch (@pc_watch) 2024年5月2日
19 :ななしさん :24/05/02(木) 21:55:06 ID:??? 英字だけでも英単語10個くらい並べれば相当な強度じゃないか
11 :ななしさん :24/05/02(木) 21:52:02 ID:??? ひらがなカタカナ使えるようにしてほしい
2 :ななしさん :24/05/02(木) 21:44:36 ID:??? 長いパスワードは忘れないために紙に書いて貼りましょう
5 :ななしさん :24/05/02(木) 21:48:14 ID:??? >>2
自宅に泥棒が入らない限り安全!
4 :ななしさん :24/05/02(木) 21:47:54 ID:??? 結局は長さだから
pasuwaadohapasuwaadodesuみたいなのが案外強いと思う
忘れにくいし
21 :ななしさん :24/05/02(木) 21:55:18 ID:??? >>4
実際長めの文章にすればいいという案もある
7 :ななしさん :24/05/02(木) 21:49:17 ID:??? FBIがパスワードは英数記号混ぜて長くするのが最強
定期変更は意味ないからやめろって発表してるからな
13 :ななしさん :24/05/02(木) 21:52:28 ID:??? >>7
定期変更についてはFBIの前にNISTが止めろやって言い出して日本でも総務省が意味ないよって言ってる
でもISMSとかいうしょうもないものに準拠するために企業では定期変更が一般的
9 :ななしさん :24/05/02(木) 21:50:26 ID:??? 長さより複数言語を使用可能にした方が破られにくいと思う
12 :ななしさん :24/05/02(木) 21:52:23 ID:??? >>9
日本語もそうだがマルチバイト文字はさすがにムズいだろ
17 :ななしさん :24/05/02(木) 21:54:57 ID:??? >>12
どこかの入力チェックで弾かれちゃうんだよなマルチバイト文字…
10 :ななしさん :24/05/02(木) 21:50:54 ID:??? これってパスワード暗号化と同じルーチンの仮想通貨作ってマイニングさせたらクソ長いパスワードのハッシュ一覧作らせることができるってこと?
15 :ななしさん :24/05/02(木) 21:53:08 ID:??? >>10
レインボーテーブルなら既にあるから今更だよ
26 :ななしさん :24/05/02(木) 21:57:23 ID:??? >>10
単純な実装だとそうだから
ちゃんとソルト付けて適切なストレッチングしようなって話になる
14 :ななしさん :24/05/02(木) 21:52:29 ID:??? ローマ字はいいけど文章にはなってない方が強いんじゃねえかな…
18 :ななしさん :24/05/02(木) 21:55:02 ID:??? >>14
ローマ字は英語としてみると無意味な文字列だから…
出身地とか意味のある文字でなけりゃ好きにすればいいと思う
24 :ななしさん :24/05/02(木) 21:56:14 ID:??? >>14
知ってる人間がパス当てようとするならともかく普通は機械的にアタックだから関係ないよ
22 :ななしさん :24/05/02(木) 21:55:18 ID:??? 今の時代意味から推測せず総当たりが基本なので
複雑化するつもりで小文字大文字数字混在で設定する条件にすると
小文字のみ大文字のみ数字のみは除外して総当たりするから逆に楽になるんですね
20 :ななしさん :24/05/02(木) 21:55:11 ID:??? 単語だと早いってだけで結局どうしようが抜かれるねっていう記事だから意味ねぇな!
23 :ななしさん :24/05/02(木) 21:56:11 ID:??? >>20
そりゃ時間かけりゃどんなパスワードだろうと解読できるけど
解読までに必要な時間が十分に長ければセーフっていうのは今でも基本的な考え方だよ
25 :ななしさん :24/05/02(木) 21:56:43 ID:??? パスワードって解かれる危険性を防ぐことより利便性を追求しないか?
3 :ななしさん :24/05/02(木) 21:47:37 ID:??? パスワード以外の方法にしましょう
6 :ななしさん :24/05/02(木) 21:48:45 ID:??? >>3
いいよね二段階認証
楽で
27 :ななしさん :24/05/02(木) 21:58:21 ID:??? PCのロック解除するのに30文字とか打ってられないものな
29 :ななしさん :24/05/02(木) 21:59:12 ID:??? 一定時間で切り替わるパスワード生成みたいなのないの
30 :ななしさん :24/05/02(木) 22:00:10 ID:??? >>29
それがワンタイムパスワードじゃねぇの!?
32 :ななしさん :24/05/02(木) 22:00:58 ID:??? 覚えやすさと強度の両立なら単語並べるのが一番いいよ
英数字記号だとたかだか100くらいだけど単語ならよく使うのに限っても数千はあるから組み合わせが桁違いに大きくなる
というかパスワードマネージャを使いなさい
33 :ななしさん :24/05/02(木) 22:01:49 ID:??? 一つのデバイスだけで運用するならパスワード管理アプリとかに投げちゃうのもいいんだろうけど
複数デバイス使ってると面倒くさいんだよな
設定共有出来たりするけどたまにうまく動かない事あるし
57 :ななしさん :24/05/02(木) 22:10:14 ID:??? 定期変更止めた方がいいっていうのは簡単なやつにしちゃうからってことなのかな
34 :ななしさん :24/05/02(木) 22:02:13 ID:??? 定期変更はどうせ簡単なものにしてしまうからな…
41 :ななしさん :24/05/02(木) 22:04:04 ID:??? >>34
むしろ悪影響だよねあれ
90 :ななしさん :24/05/02(木) 22:15:29 ID:??? 定期的に変更することで覚えるのめんどくさくなって適当なパスにしたりするからな…
覚えてられる激長文章の方がいいんだな
28 :ななしさん :24/05/02(木) 21:58:37 ID:??? 20字オーバーのパスとか設定したら最強だろう
それを毎回入れるのタルいけど
36 :ななしさん :24/05/02(木) 22:03:06 ID:??? まともな所はパスワードと別の認証方法実装してるけど強制にはまだまだできない…
38 :ななしさん :24/05/02(木) 22:03:32 ID:??? パスワードなんてクソ喰らえ
39 :ななしさん :24/05/02(木) 22:03:34 ID:??? もうパスワードやめようぜ
パスキーの時代だよパスキーの
46 :ななしさん :24/05/02(木) 22:05:48 ID:??? >>39
パスキー良いよね…
指紋認証だけでWebサイトにログインできるの革新的
パスキー消しちゃった時の為にパスワードは廃せないけど
40 :ななしさん :24/05/02(木) 22:04:03 ID:??? 素直に多要素認証使わせてほしい
42 :ななしさん :24/05/02(木) 22:04:45 ID:??? SMSに6桁パス送る形式も手間かかるけどこれ意味あるのかって思ってやってる
49 :ななしさん :24/05/02(木) 22:06:44 ID:??? >>42
SMSなりメールなりを受信できる人がログインしてる保証になるだろ
50 :ななしさん :24/05/02(木) 22:07:52 ID:??? >>42
ある
すごいある
パスワードは知ってるから本人だよねって知識での認証だから一致すれば通る
SMS使うのは受信可能なデバイスを所有しているから本人だよねという所持での認証なので別物
両方セットで使うとつよい
44 :ななしさん :24/05/02(木) 22:05:24 ID:??? IP付きログイン履歴を確認できるようにしてくれ
なんで俺ドイツからアクセスされてんの…
48 :ななしさん :24/05/02(木) 22:06:41 ID:??? 今はもう自動生成に任せてる
規則性はないし何一つ覚えてない
52 :ななしさん :24/05/02(木) 22:08:15 ID:??? >>48
アプリで登録したやつが自動保存されてなくて…
76 :ななしさん :24/05/02(木) 22:12:42 ID:??? >>48
会社で登録した福利厚生サイトへのログインパスワードが自宅から分からねえ…!
43 :ななしさん :24/05/02(木) 22:05:05 ID:??? 今月は5月か…openis05っと
51 :ななしさん :24/05/02(木) 22:07:58 ID:??? 大文字小文字記号数字混ぜると入力が面倒臭すぎたから数字と小文字だけで32桁でいいかなってなった
55 :ななしさん :24/05/02(木) 22:09:05 ID:??? >>51
・大文字を使用してください
・記号を使用してください
・パスワードは16文字以内にしてください
53 :ななしさん :24/05/02(木) 22:08:54 ID:??? なんかよく分からないままパスキー使えてる
認証するためのスマホとの通信手段がBTなのかネット回線経由なのかすら分かってない
54 :ななしさん :24/05/02(木) 22:08:55 ID:??? パスワード紙に書くは割りと強い
56 :ななしさん :24/05/02(木) 22:09:44 ID:??? >>54
パスワードマネージャーと違って攻撃するには物理で盗まないといけないのでハードルが高い
適切に管理する前提だけど
63 :ななしさん :24/05/02(木) 22:10:38 ID:??? >>54
身も蓋も無いけど物理管理最強なとこはあるからな…
67 :ななしさん :24/05/02(木) 22:11:00 ID:??? >>54
俺の字が汚すぎてlだか0だか
58 :ななしさん :24/05/02(木) 22:10:18 ID:??? ランダム生成してソフトに覚えさせる!
59 :ななしさん :24/05/02(木) 22:10:19 ID:??? サイトによってこの文字ダメだされたりしてめんどくせ
66 :ななしさん :24/05/02(木) 22:10:56 ID:??? >>59
特定の記号使えない場面に結構遭遇して面倒くさい
60 :ななしさん :24/05/02(木) 22:10:22 ID:??? 長いパスワード思い出せない
文章にしてるけどとがりすぎてるとJKokasitaiみたいなパスにして会社の管理者に注意受けたヤツを思い出すし…
61 :ななしさん :24/05/02(木) 22:10:26 ID:??? 定期変更してもいいけど変更のルール定めて対応したかの管理もしないとダメ
62 :ななしさん :24/05/02(木) 22:10:29 ID:??? SMS二段階認証が最強だと思うけどスマホ壊れたらきついしその認証すら突破されたら終わりだな
75 :ななしさん :24/05/02(木) 22:12:41 ID:??? >>62
SMS認証突破って何が起きてんだよ
79 :ななしさん :24/05/02(木) 22:13:38 ID:??? >>75
そりゃ本人を襲撃してスマホを奪って…
83 :ななしさん :24/05/02(木) 22:14:19 ID:??? >>79
そこまでいったらパスワードとかそういう問題じゃないんだよなぁ
81 :ななしさん :24/05/02(木) 22:13:56 ID:??? ワンパスとかSMS認証突破はもう背中から銃突きつけられてる状況だろ
73 :ななしさん :24/05/02(木) 22:12:41 ID:??? まずどうにかIDとパスワード入手した上でひたすら二段階認証のリクエスト送りまくって相手が根負けして承認してしまうという形で二段階認証突破した話があった気がする
64 :ななしさん :24/05/02(木) 22:10:39 ID:??? 記号を使用してください
使用できない記号が含まれています
69 :ななしさん :24/05/02(木) 22:11:11 ID:??? >>64
クソがよ…
72 :ななしさん :24/05/02(木) 22:12:21 ID:??? フォントによってlとIの違い全然分からんってなる
65 :ななしさん :24/05/02(木) 22:10:53 ID:??? edge使っててブラウザ由来のウォレットと拡張機能のAuthenticatorが同期してないの知らなくて保存した筈なのに何で間違うのってなった
74 :ななしさん :24/05/02(木) 22:12:41 ID:??? 複数のemojiを入れてくださいとかにしよう
80 :ななしさん :24/05/02(木) 22:13:56 ID:??? >>74
🙏✌👌🧐
78 :ななしさん :24/05/02(木) 22:12:50 ID:??? パスワードマネージャー使うのが一番ええ
84 :ななしさん :24/05/02(木) 22:14:25 ID:??? 火狐の覚えてもらってるけどブラウザハックサれたら危ないかもしれない
88 :ななしさん :24/05/02(木) 22:15:20 ID:??? 生きていく上でのサービスがスマホ端末に依存しきってるの便利だけど壊れたらどうしようってなる
85 :ななしさん :24/05/02(木) 22:15:03 ID:??? 今はSIMスワップ攻撃というのもあるので
電話番号全依存のSMSはかなり脆弱
93 :ななしさん :24/05/02(木) 22:16:00 ID:??? 複雑化すると人間が記憶できずにブラウザや端末に覚えさせて別の方面からの侵入リスクになるよな
95 :ななしさん :24/05/02(木) 22:16:39 ID:??? 俺はされてないけどやってるネトゲでアカウントハックは日常茶飯事だったな
96 :ななしさん :24/05/02(木) 22:16:44 ID:??? 英数字混ぜつつアカウント毎に俺だけが知ってる法則でちょっと変えてるのが最強
101 :ななしさん :24/05/02(木) 22:17:24 ID:??? >>96
乱数で生成してブラウザに覚えさせるのがいいよ
99 :ななしさん :24/05/02(木) 22:17:12 ID:??? パスワードなんてchromeが自動生成してくれるでしょ
おい何でこのサイト記号が使えねぇんだ…
100 :ななしさん :24/05/02(木) 22:17:15 ID:??? パスワードマネージャー導入したら解決する
ウザいのは取引パスワード
証券会社はログインと取引で別々のパスワード使わせるの止めろ
113 :ななしさん :24/05/02(木) 22:21:04 ID:??? >>100
取引パスだけは手書き
なんせ勝手に使われた実績のあるSBI証券だからね
98 :ななしさん :24/05/02(木) 22:16:52 ID:??? webサービスのパスワードなんて数回間違ったらロックされるしあんま気にしなくていいのでは
102 :ななしさん :24/05/02(木) 22:18:07 ID:??? 以前勤めてた会社のパスワード大抵P@ssw0rdって設定されてた
103 :ななしさん :24/05/02(木) 22:18:14 ID:??? esim契約してたスマホが夏に起動しなくなって
SMS認証してた全サービスか使えなくなって本当にキツかった…
おまけに携帯変えるときにクレカの番号入力が必要なんだけど
ナンバーレスで番号確認もSMS介すから契約すらできないという
116 :ななしさん :24/05/02(木) 22:21:41 ID:??? >>103
なるほどな
eSIM 使ってるけど使えなくなった時の回避方法考えてなかったわ
109 :ななしさん :24/05/02(木) 22:19:30 ID:??? >>103
予備のスマホ持ってないと緊急時何も出来なくなるしSIMも差し替え不便でも物理のほうがいい
104 :ななしさん :24/05/02(木) 22:18:45 ID:??? 2段階認証部分はもっと厳密な手続きを国際機関で強制してほしい
105 :ななしさん :24/05/02(木) 22:18:48 ID:??? 乱英数記号10桁を1つだけ記憶してその中の一文字を
サービス名の頭文字から取るってやり方でパスワード作ってる
けどこのやり方も危ないかな…
106 :ななしさん :24/05/02(木) 22:19:12 ID:??? パスワードを記憶しないってのはフィッシング対策にもなるので
それはそれで利点でもある
107 :ななしさん :24/05/02(木) 22:19:20 ID:??? 偽装できないなんらかの情報を持った素子を体に埋め込もう
112 :ななしさん :24/05/02(木) 22:19:57 ID:??? >>107
素直に生体認証でええ!
110 :ななしさん :24/05/02(木) 22:19:39 ID:??? 100%安全なパスワードは存在しないから複数の鍵つけようねってだけだよ
111 :ななしさん :24/05/02(木) 22:19:50 ID:??? bitwardenみたいなPC・スマホで使えるパスワードマネージャいいよね
アプリのログインでも自動入力が使えるのが便利
ブラウザ記憶だとアプリでのログインまでは対応できないし
117 :ななしさん :24/05/02(木) 22:22:21 ID:??? >>111
MSオーセンティケータがパスワード保存生成から6桁コード生成まで全部載せ無料で好き
115 :ななしさん :24/05/02(木) 22:21:36 ID:??? どんな長いパスでも結局はハッシュで保存しててそれが漏れたら簡単に通るパスを生成できちゃうって話じゃねぇの!?
120 :ななしさん :24/05/02(木) 22:23:28 ID:??? >>115
それは結局ユーザー側にはどうすることも出来んし
114 :ななしさん :24/05/02(木) 22:21:36 ID:??? 仮にGmailが突破されたら俺のネット生活が丸々崩壊すると思う
パス突破されなくてもメールにじぽ送って垢BANとかあるし結構怖い…
118 :ななしさん :24/05/02(木) 22:22:27 ID:??? 紛失の場合eSIMだとネット環境あれば即再発行で復活できるので
そういう意味では強い
119 :ななしさん :24/05/02(木) 22:22:39 ID:??? 指紋や虹彩認証ができるスマホが一番身近な精密認証機材なのは間違いない
そして壊れる前に機種変するのが最適なリスク管理となる
123 :ななしさん :24/05/02(木) 22:24:16 ID:??? iCloudはパスワード管理はPCとかとの連携微妙だけど
メールアドレスいくらでも生成できるのは素晴らしい
122 :ななしさん :24/05/02(木) 22:23:52 ID:??? まあ度々変えても破られないパスワードはないってことだ
だからってノーガードは問題外だが
125 :ななしさん :24/05/02(木) 22:25:00 ID:??? そもそもブルートフォースって時点でパスワードの問題じゃなくシステムの脆弱性だよね
132 :ななしさん :24/05/02(木) 22:27:48 ID:??? >>125
そこは攻撃する側も疑われないように攻撃方法を洗練させてるのでより長くて一致しにくいパスワードを使うくらいしかない
128 :ななしさん :24/05/02(木) 22:27:03 ID:??? スマホが壊れたら結構大変なことになる
137 :ななしさん :24/05/02(木) 22:29:14 ID:??? >>128
Googleのパスワードが割れてもかなりマズい
126 :ななしさん :24/05/02(木) 22:26:20 ID:??? 俺はちゃんとサイトごとにログインパスを分けて設定してtxtでデスクトップに置いてる
127 :ななしさん :24/05/02(木) 22:26:32 ID:??? Google先生にパスワード生成してもらってる
130 :ななしさん :24/05/02(木) 22:27:19 ID:??? ぶっちゃけしらみつぶしだから長ければなんでもいいんでしょ?
133 :ななしさん :24/05/02(木) 22:28:00 ID:??? >>130
ぶっちゃけはい…
134 :ななしさん :24/05/02(木) 22:28:31 ID:??? >>130
まぁなんだかんだ言って現状では短くて複雑なものより長ければ長いほうが強い
146 :ななしさん :24/05/02(木) 22:32:27 ID:??? >>130
とはいえよくあるやつとかわかりやすい文章系は真っ先に調べられるからそういうのは避けてもろて
135 :ななしさん :24/05/02(木) 22:28:38 ID:??? スマホはダレるけどPCのパスワードなら20文字ぐらいなら慣れですぐ入れられるになるよ
136 :ななしさん :24/05/02(木) 22:29:08 ID:??? ネット始めた手のお爺ちゃんお婆ちゃんがまず挫けるところ
今更英語の勉強させんなとか言いだす
131 :ななしさん :24/05/02(木) 22:27:43 ID:??? 別に誰に見られるわけでもないけど偽パスワードを付箋に書いて貼ってる
138 :ななしさん :24/05/02(木) 22:29:25 ID:??? password1234mybirthdayismay2ndみたいなクソアホパスでも強いってこと…?
140 :ななしさん :24/05/02(木) 22:29:58 ID:??? >>138
はい
142 :ななしさん :24/05/02(木) 22:30:55 ID:??? >>138
例えば1234入れる時にShift押しながらとかにすればもっと強くなる
144 :ななしさん :24/05/02(木) 22:31:32 ID:??? 総当たりで探してるだけだから長ければ長いほど時間かかるからね
139 :ななしさん :24/05/02(木) 22:29:32 ID:??? 立ちはだかる文字数制限
143 :ななしさん :24/05/02(木) 22:31:09 ID:??? ブルートフォースって被害の全体としては少ないらしいからね
やはり圧倒的に多いのはフィッシング
145 :ななしさん :24/05/02(木) 22:32:23 ID:??? 某AIの管理ソフトが開発者にはパスが筒抜けの状態だった事があるのに未だに使われ続けてる
147 :ななしさん :24/05/02(木) 22:33:19 ID:??? 総当たりで解析されるってのがよくわからん
3回連続で失敗したら以降アクセス不可とかにすればよくない?
総当たりで解決とか言い出したらカードの4桁数字のパスなんて1秒で解かれ放題なのに無意味にはなってないじゃん
162 :ななしさん :24/05/02(木) 22:38:39 ID:??? >>147
そりゃ攻撃する方も制限されないように対策してるから…
161 :ななしさん :24/05/02(木) 22:38:32 ID:??? >>147
>>1の記事はシステム内に保存されてるのが漏れてそれを解析する手口の話だから
184 :ななしさん :24/05/02(木) 22:44:55 ID:??? >>147
実際まともなシステムは数回失敗したら30分〜1日とかロックかかるし警告メール来るよ
197 :ななしさん :24/05/02(木) 22:47:21 ID:??? >>147
通常のWebサイトへのアタックならまぁその通りなんだけどこの手のブルートフォースアタックはシステムのソースコードやDBなんかも全部盗まれてそのうえでどう守るかってのを想定してるよ
149 :ななしさん :24/05/02(木) 22:34:10 ID:??? 日本語をパスワードに使えたら強度強くなるんじゃないかな
155 :ななしさん :24/05/02(木) 22:36:47 ID:??? >>149
大宇宙使いたいよな
157 :ななしさん :24/05/02(木) 22:37:07 ID:??? >>149
やはり秘密の質問か
160 :ななしさん :24/05/02(木) 22:38:00 ID:??? >>157
これマジでやめてリセットコードでも発行してろって思う
166 :ななしさん :24/05/02(木) 22:39:12 ID:??? >>160
秘密の質問はソーシャルな攻撃に弱いので適当な文字を使えばええ!
164 :ななしさん :24/05/02(木) 22:39:05 ID:??? >>149
ついでに薩摩弁にすれば辞書使用文字への対策にもなる
170 :ななしさん :24/05/02(木) 22:39:52 ID:??? >>164
セキュリティを高めるために会津弁でも混ぜるか
171 :ななしさん :24/05/02(木) 22:40:28 ID:??? >>149
実際日本語パスワードはあほみたいに強い
少ない桁でも突破は困難
152 :ななしさん :24/05/02(木) 22:36:13 ID:??? もうパスワードは16桁〜128桁で設定可能なのを法で強制して下限を少しずつ切り上げていこう
150 :ななしさん :24/05/02(木) 22:35:01 ID:??? やはり2段階認証か…!
151 :ななしさん :24/05/02(木) 22:35:21 ID:??? 全部生体認証で頼むわ
158 :ななしさん :24/05/02(木) 22:37:16 ID:??? 二段階はSMSでいいじゃんと最近は思っちゃう
165 :ななしさん :24/05/02(木) 22:39:08 ID:??? >>158
SMSも実は万全じゃないので認証ソフトか生態認証がいいよ
159 :ななしさん :24/05/02(木) 22:37:41 ID:??? 長いほうが良いっていうけどネットバンクみたいな大事なやつほど8〜12文字以内みたいな制限あること結構多いような
181 :ななしさん :24/05/02(木) 22:44:04 ID:??? >>159
これマジで殺したくなる
163 :ななしさん :24/05/02(木) 22:38:42 ID:??? いい加減指紋と網膜パターンに切り替えてくんないかな
文字入れるのめんどいわ
169 :ななしさん :24/05/02(木) 22:39:38 ID:??? >>163
平文で生体情報を保存するアホが絶対出てくる
199 :ななしさん :24/05/02(木) 22:47:47 ID:??? でも皆さん仕事ならともかくプライベートでそこまでしてパスワードをかけるようなファイルやHDDって何なんです?
203 :ななしさん :24/05/02(木) 22:48:40 ID:??? >>199
……
129 :ななしさん :24/05/02(木) 22:27:06 ID:??? Gyu-don380enってのを長らく使ってたけど値上がりした