パスワードの「数字記号混じり」「定期変更すべき」などのガイドラインは間違いだった？制定者が「失敗だった」と発言

北河拓士🔰 @kitagawa_takuji

NISTで2003年にパスワードの複数文字種混在や定期変更を推奨するガイドラインを書いた人が間違いを認め後悔していると発言。 wsj.com/amp/articles/t…

北河拓士🔰 @kitagawa_takuji

NISTの新しいガイドラインでは「定期変更はすべきでない」ばかりが注目されているが、それ以外にも「異なる文字種の混在などのルールを強要してはいけない」「少なくとも64桁以上を使用可能にしなければいけない」という項目も加えられている。

北河拓士🔰 @kitagawa_takuji

文字種が混在した覚えづらく打ち難いパスワードよりも、覚えやすい複数の単語を組み合わせた長いパスフレーズの方が安全ということ。

北河拓士🔰 @kitagawa_takuji

例えば「m^2EsZq1」より「yoshigyusutabajiroumashimashi」（吉牛スタバ二郎マシマシ）の方が覚えられるし安全。簡単な単語でも４つ組み合わせれば、まず破られることはないと言われている。最大長が16桁等だと、このようなパスフレーズが使えない。

北河拓士🔰 @kitagawa_takuji

特にスマホだと数字や記号を打つのにキーボードを何度も切り替えねばならず入力に時間が掛かる。小文字だけで十分長い方が短時間で入力出来る。 単純なサーチ空間の比較では、大文字小文字数字記号混在の8桁より小文字のみ12桁の方が強度が強い。

北河拓士🔰 @kitagawa_takuji

小文字26種、大文字26種、数字10種、記号33種の95種で、8桁だと95^8=6704兆7809億 通り 小文字26種の11桁だと、26^11=3817兆1582億 通り、12桁だと、26^12=9京9246兆1149億 通りで小文字12桁にすると大小数字記号8桁より強くなる

北河拓士🔰 @kitagawa_takuji

小文字26種、数字10種、記号33種の69種で、8桁だと69^8=521兆3542億 通り 小文字26種の11桁だと、26^11=3817兆1582億 通り、 小文字数字記号8桁だと、小文字11桁の方が強い。

北河拓士🔰 @kitagawa_takuji

NIST Special Publication 800-63B Digital Identity Guidelines pages.nist.gov/800-63-3/sp800… pic.twitter.com/ggcCqHu5Hm

拡大

北河拓士🔰 @kitagawa_takuji

複雑なパスワードとパスフレーズの違いを解説したカートゥーン 「Tr0ub4dor&3」は覚えられないし、3日でクラックされる。「correct horse battery staple」だと覚えられるし、クラックに550年掛かる。 xkcd.com/936/

ふぉーてぃないなー @49ermania

ごくごく真っ当で理論的。

０－が @ogggKFX

覚えやすいけどくっそながい方がいいのか

美優 @996932

辞書攻撃的なやつも組み合わせ増やせば避けられるってことか。 ＞RT

💉名取らびりん🍆 @labyrinthu

そりゃパスワードクラックが基本総当りだとすると桁数多いほうが解析に時間かかるよね

大山ゆっけ（蘇る鈴木佑輔） @trinity_site

総務省あたりが推奨ガイドラインとして出してくれねえかな

まっくさん @mac43chan

じゅげむじゅげむごこうのすりきれ…

いりじうむ @irid_v2

じゅげむじゅげむごこうのすりきれ・・・ってパスワードにしたら、システムごとにどこまでで設定したか忘れてログインできなくなった

転倒小心 @tentousho

これ聞いても多分いろんなところで「そんなこといまさら言われても…」って困るだろなー

マル＠(｢･ω･)｢がおー @maru_maru_3dayo

こりゃ近いうちに入力系の大改修とかありそうな あと大事故

かえざくら @kae_sakura

自分もこんな感じやな。文字列のローマ字打ちって覚えやすいし長い文字列にもなる。 で、だ。大文字小文字を混ぜろとか記号を入れろだとかいうのだるい