「パスワードは複雑さより長さが大切」 FBIが指南
コメント
注目のコメント
まだパスワードで消耗してるの?
パスワードの桁数増やしたところで、総当たりされたらいつかは破られる。
パスワードだけなら。
しかし、そんな事はない。
通常IDとパスワードの認証システムは再試行制限がある。
この再試行制限もセットだからパスワード保護の意味がある。
再試行制限があれば、パスワード総当たりのブルートフォース攻撃は実行できない。(なんとかペイとかは再試行制限なしと言うバカな事やりましたが)
パスワード認証システムでやられるのは、リスト型攻撃。
つまりはパスワード特定されてる場合(簡単な単語や生年月日も含む)。
で、ココで取り上げられてるパスワードスプレー攻撃は、パスワード使い回しやシングルサインオン使ってるユーザーをターゲットにしてます。
多くのユーザーは多数のサイトで同じパスワードを使う。
シングルサインオンでもパスワード共通にしてる事が多い。
ならば、それぞれのサイトにブルートフォースをかければ、パスワード再試行ロックアウトをかわせる可能性がある。
例えば同じIDで100個のサイトに登録されてるのがわかれば、再試行3回できるシステムなら300回試せる。
再試行タイマーが5分間なら、5分後にまた300回試せる。
こうしてパスワードを炙り出すのがパスワードスプレー。
コレを避けるには、各サイトで違うパスワードを登録する事。
(もちろん自分の生年月日などパーソナルデータとは無関係な文字の羅列)
そして、ソレをノートに全て記して、金庫に保管。
又はパソコンに記憶させて、パソコンを金庫に保管。
コレがベストです。かなり前に仲のいいエンジニアに、格言を都度都度変えて登録してると教えてもらったことがありたす。覚えやすくて文字列としては複雑でもあるというのが理由でしたが、FBIの新しく指南とのことで使う人が増えそうですね。
ようわからん
要するにハッシュクラックの難易度をあげようぜと言う話しなんでしょうが
それは事業者がどのハッシュアルゴリズムを選択するか、どう運用するかで全く異なってくるでしょう
利用者としてパスワードをどうのこうのいうのであれば、それよりも先に事業者の取り扱い方を規制したほうが効果的でしょう