編集部が選ぶ「みんなに見てほしい」イチオシまとめはこちら
283
Hiromitsu Takagi @HiromitsuTakagi
これはひでえ。誰だよこんなのをテレビ局に教えたのは! twitter.com/news24ntv/stat…
NTV NEWS24 @news24ntv
パスワードの定期的な変更は不要!?安全で覚えやすいパスワードを作るワザとは? news24.jp/articles/2018/… #パスワード #セキュリティー pic.twitter.com/O0xar90T6a
Hiromitsu Takagi @HiromitsuTakagi
イマドキこんなことしてたらマジで破られるだぞ! pic.twitter.com/DRulo3gfpD
 拡大
 拡大
 拡大
 拡大
Hiromitsu Takagi @HiromitsuTakagi
イマドキは最初から「s0c!@1」とかの辞書で攻撃してくるんだよ。トレンドマイクロのエンジニアは普段ブルートフォース攻撃のログとか見てないの? なんの事業やってる会社なの? 恥を知れよ。こういう有害啓発やってる部隊とり潰せよ。 blogs.technet.microsoft.com/jpazureid/2018… pic.twitter.com/OD8FyNXmvS
 拡大
Hiromitsu Takagi @HiromitsuTakagi
正しい「安全で覚えやすい」パスワードの付け方の例はこちら。 twitter.com/HiromitsuTakag…
Hiromitsu Takagi @HiromitsuTakagi
私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。)
Hiromitsu Takagi @HiromitsuTakagi
JPCERT/CCもさあ、まだこんなこと言ってるの? jpcert.or.jp/newsflash/2018… (まあ、JPCERT/CCが真っ当な対策を説明したことなんて見たことないけど。) pic.twitter.com/XkwEhkCqPl
 拡大
Hiromitsu Takagi @HiromitsuTakagi
twitter.com/HiromitsuTakag… 辞書を使っても(ランダムに)3語(オフライン攻撃非想定)なら安全だということがわからんのかねえ。「辞書に載ってる単語を使うな」などと言ってるから、どんどん危ういパスワードが蔓延しているということにいい加減気づけよ。
msugai @msugai
マジか。これトレンドマイクロが指南したの?何時代のことかと思ったわ。w@r3sとかp@ssw0rdみたいに記述するのが1995-2000ごろには流行ってたけどもさ twitter.com/hiromitsutakag…
あやせひろみ @hiromi_ayase
ひろみちゅ先生、なんでこんなに怒ってるのかと思ったら、テレビで安全なパスワードの作り方という番組がやってて「Hack」とかの英単語そのままでは危ないけど「H@ck」にすれば安心!とかやってたらしい。それでその監修がトレンドマイクロだったと。 twitter.com/HiromitsuTakag…
バン(今日から君もジャーナリスト) @tbanno3
@HiromitsuTakagi これでは破り放題でprntium4の時代かなと、ゾッとしますね。
あらやおーいぇ @ArayaOhyeah
わろた。悪い人がテレビ局騙してハッキングしようとしてるんだと思った。 twitter.com/HiromitsuTakag…
齊藤健司(ゆめかけ) @yume_piece1010
@Takasi_un_bot @HiromitsuTakagi @ziplock パスワードの定期的変更はNG この話題は、破られづらいパスワードの作成方法の話 実際には脆弱なパスワードの作り方を、安全で覚えやすいパスワードの作り方として紹介していたという点が問題です
六本木のおじさん @jin_matu
辞書攻撃という名称からか通常辞書に載っている単語は避けがちだけど、確かに五万語からであればその通りだ。ちょっと目から鱗。ただマイナーな単語で覚えにくいとか長いとかで別の単語を再選択したりすると偏りが出来るのでそこは気をつけないとだな。 twitter.com/HiromitsuTakag…
らぃりる-A列車PCオススメ! @Liriru
目からウロコ…安全で簡単なパスの作り方 #日テレNEWS24 #日テレ #ntv news24.jp/articles/2018/… いつの時代だ、10年くらい前の知識だな
このツイートは権利者によって削除されています。
結城浩 @hyuki
高木さんの一連のツイートは大事な指摘です。みなさん自分の資産を守るため、よく読んで判断しましょう。 twitter.com/hiromitsutakag…

コメント

オタクモドキと化したぜるたん @the_no_plan 2018-04-06 11:42:42
これなら定期的に変更したほうが、まだいいよなぁ
ちょちょまる @sakuya_little 2018-04-06 12:07:23
パスフレーズにしとけばいい
@drydog_jp 2018-04-06 12:11:11
2バイト文字使えるようにして欲しいなあ
trueよりも浅い場所 @ibaranika 2018-04-06 12:19:41
てっきりギャル文字変換でパスワードを作れという話かと思った
三楽斎 @nekokagetora 2018-04-06 12:56:00
祖父祖母両親の名前を繋げるとかのほうが安全。
ziggy @zigizagu 2018-04-06 12:59:54
ドメインをハッシュ化するか
和菓子 @nkltsl2 2018-04-06 13:01:18
色んな推しの名前やプロフィールの情報を組み合わせてなるべく長いパスワードにしてるんだけど、字数制限が未だに8文字くらいのサービスとかあってしっかりしてくれと思うわ
出無精マスク @annoupoteto 2018-04-06 13:01:31
変態糞土方や課長こわれるとかのコピペの冒頭や語録一文をパスにしとけ、破れた奴はホモ
和菓子 @nkltsl2 2018-04-06 13:02:31
そういえばiPhoneのアンロックパスコードも6文字なの、よく考えれば個人情報の塊に対してのセキュリティとしてはかなりヤバイ?
点面悪鬼百之助 @x743 2018-04-06 13:03:19
「安全」なパスワードなんてないのに
はくしんかわ @sato231031 2018-04-06 13:05:39
「誕生日やわかりやすい言葉をパスワードにするのはやめろ」って昔から言われているのに・・・
FX-702P @fx702p 2018-04-06 13:09:06
ひろみつ先生かと思ったらその通りだった。
ぽちゃまる @pocha_722 2018-04-06 13:17:42
トレンドマイクロってどっかで聞いたなと思ったらウイルスバスターの会社か……。そりゃないわ。
暗黒饅頭 @ankokumanju 2018-04-06 13:17:46
トレンドマイクロはこの程度のセキュリティ意識なのか。なるほどね
暗黒饅頭 @ankokumanju 2018-04-06 13:18:03
あるいはわざと脆弱にして自社の商品買わせようとしてんのかね。どっちにしろロクなもんじゃないな
ざっぷ @zap3 2018-04-06 13:20:46
「4〜6文字の英数字限定」みたいな元々の選択肢が異様に限定される環境ならこういう手法や定期的変更が意味を持ったけど、今や数十文字okとか漢字アリとか自由度があがってるんで、単語を複数並べれば定期的変更なしでも強い、というお話。
ざっぷ @zap3 2018-04-06 13:22:32
zap3 スマホのロック解除や銀行の暗証番号などは「モノがそこになきゃいけない」「数度間違えたらロック」という点で強化してるので、桁数少なめでもアリという判断(間違えないなら長いに越したことないけど)
白蓮 @Wh1te_L0tu5 2018-04-06 13:23:31
leet表記とかTwitterのIDでも当たり前に使われるんだから…やめようね!
翡由良(hiyura) @PatriotMaya1227 2018-04-06 13:29:12
やはり文章をローマ字化するのが一番ですね
新しい名前が思いつきません @NewName_NoIdea 2018-04-06 13:32:26
最近はパスフレーズが流行りじゃないの?
瑞樹 @mizuki_windlow 2018-04-06 13:32:28
KeePassに36桁の乱数文字列を吐き出させ、それを記憶させて運用してるので、パスワードは全て覚えてない話wwwww
番兵君 @banpeikun 2018-04-06 13:32:44
記号なしで20文字以上とかにして欲しい。 記号が入ると文章で覚えられなくなる。
マシン語P @mashingoP 2018-04-06 13:35:54
パスワードだけでなくHNでもアルファベットを記号に置き換える手法は、ネットがアンダーグラウンドを称してイキっていた時代のアナクロニズムだよなあ
片山 和紀 @night_wizard 2018-04-06 13:36:52
後は昔は使ってたけど、今現在のプロフィールとは結びつかない文字列なんかも自分以外は知り得ないから割と有効。
瑞樹 @mizuki_windlow 2018-04-06 13:39:51
つーか、WindowsHello対応の指紋リーダーが1万円程度で買える時代なんだし、パスワードよりも生体認証にシフトして行ってくれれば面倒くさくないよね。レガシーとしてパスワードを残すにしても生体認証対応のパスワード管理アプリを仲介させれば覚える必要もないから、いくらでも長いパスフレーズを設定する事が出来る。
K-G @K_G_xyz 2018-04-06 13:45:19
毎日使うようなものなら無意味な乱数だって覚えられるだろ 一時期、頻繁にWindowsMeの再インストール繰り返してたときはプロダクションコード暗記してたし
青木文鷹 @FumiHawk 2018-04-06 13:53:46
パスワードの強度=パスワードの長さ____
グレイス @Grace_ssw 2018-04-06 13:55:17
今時16文字以内だと記号番号混ぜても割と無駄だぞ……。毎月変える系パスも覚えにくくなるので単純化しやすくなる。究極的には指紋認証とかなんだろうけど、状況によっちゃ難しいわな……。漢字を使えるPASS入力とかどうなんだろう。
鳥公 @crow_tori 2018-04-06 14:02:14
いや、この人のも若干古くないか。今の推奨は「とにかく長く」だろう。短かったらランダム性に大した強度はない。 文章でいい。
みっくす・じゅーす @mixjuice_100cc 2018-04-06 14:04:31
日テレがわざとやってる情報テロなのかなぁ? 変な情報を公共の電波で垂れ流しだととっても危ないよ
ちょちょまる @sakuya_little 2018-04-06 14:15:16
どうでもいいけどフォーム送信後に「パスワードの文字数と文字種が足りてないやで」って言ってくんのやめろ。そういうのは送信前に教えろ。
ぽんぽん @apocalypse1706 2018-04-06 14:15:28
これはひどいなあw 担当が思いつきででっち上げたとしか思えない。
ですの @_desuno_ 2018-04-06 14:20:39
ランダム単語とか覚えられなくてひと昔前の頻繁にパスワード変えさせられる上に似たようなのは怒られるときの回避法だろ、今なら好きな文章のローマ字化とかの長文パスワードだろ。とくにローマ字化は辞書攻撃に強いし
はたさん @aki_hatamoto 2018-04-06 14:20:48
パスワード地獄にウンザリしてるけど生体認証も流出したら取り替えが効かないという意味では怖い
RUN @Runagate 2018-04-06 14:22:53
mizuki_windlow これプラス、うっかりデータベースが消えたら自分が死亡するので、データベースファイルを定期的にDropBoxにバックアップもしている(バックアップ大事
ツナナマヨ @tnnmys 2018-04-06 14:27:15
英数字漢字カタカナひらがな全部使えるようにした文章パス、海外の攻撃からは強そう(粉みかん)
佐渡災炎 @sadscient 2018-04-06 14:28:10
aki_hatamoto 指紋認証は最低でも指20本分の複数角度・部位を登録できるようにしてほしいよな。
アルビレオ@炙りカルビ @albireo_B 2018-04-06 14:28:38
「多くの泥棒が開け方を知っている鍵」を画期的な商品のように紹介するようなもの
ぽんぽん @apocalypse1706 2018-04-06 14:30:16
sadscient 別に今の機器でもできなくはないんじゃないのか? めんどくさいだけで。
Koke @Koke1024 2018-04-06 14:30:38
無限匹の猿に無限回キーボードを叩かせることで生成したパスワードが最強
葵真碧(mao aoi) @maochin39blue 2018-04-06 14:32:27
まあ、馬鹿には重要な機密情報を扱わせてはいけないという事だろうな。普通にランダムな文字列の十数文字の英字/記号くらいなら、2、3回ログインすりゃ覚えられるだろ。ハングルとかサンスクリット語とかじゃないんだし。
やばいまずったー @YabaiMazutter 2018-04-06 14:33:20
トレンドマイクロが枝葉として説明したテクニックを日テレ側が幹として据えてしまった可能性を真っ先に疑う。
高見ちえたん @TakamiChie 2018-04-06 14:37:04
この放送が酷いのは確かだけどこれ以上のことを言っても多分ローリテラシーユーザーには伝わらないんだろうなあ という。 いまだに「パスワードは4~8文字」(某クリ○イトSD)とか、8~16文字(某ヨドバ○カメラ)とか、あとはIT系でも記号OKとかNGとかバラバラだからなあ、パスワード強度上げようにも上げようがないという。 せめて受け入れ側は「8~100文字くらいで制御文字以外の全ての半角文字を入力可能」にして欲しい
3Dポーズ集 @3dpose 2018-04-06 14:39:15
ランダムでええやんけ。。。
高見ちえたん @TakamiChie 2018-04-06 14:39:57
ほら、IT系の仕様によくあるアレよ。トレンドマイクロ的にはもっとすごいこと言ってたんだけど顧客(日テレ)が「これでは伝わらないですね…、もうちょっと簡単にできませんかね」って仕様変更をどんどん要求した結果元の理念がないくらいスカスカのカスにされたものが放送された っていう。悪いのはトレンドマイクロではなく日テレでもなくそこまでリテラシーを持ってる人と持ってない人の溝が広がった世間そのものである。
佐渡災炎 @sadscient 2018-04-06 14:47:41
apocalypse1706 だからそれを最低ラインとして義務付けてほしいということ。今使ってるアンドロイドスマホは10パターンくらいしか登録できないので、指の数でいうと2本分程度。
water20 @water20 2018-04-06 14:51:06
記号入れるより、パスワード自体を長くするのが良いです。「20文字以上も覚えられないよー」という人は文章にすればいい。 imanara5waribiki1manen! ←こんなのでも20文字超えてる。
(=゚ω゚)ねこすけ@コピミスト @Bikenekosuke 2018-04-06 14:54:31
おいおいトレンドマイクロマジかよ・・・。(監修ってもしかして営業さんとか広報さんで、技術者さんがやったのでは無くない?)
RAY@わんこ先生 @rayion89 2018-04-06 14:57:04
「トレンドマイクロのエンジニアは普段ブルートフォース攻撃のログとか見てないの? なんの事業やってる会社なの? 恥を知れよ。」これに尽きる あと個人的にはパスワード設定桁数を256とか認めてくれる企業と優先的に取り引きしたい
(=゚ω゚)ねこすけ@コピミスト @Bikenekosuke 2018-04-06 14:57:17
まあ、自分もパスワードなんて覚えて無いんですけどね(LastPass派)
HideShine @thank_you_nas 2018-04-06 14:57:26
個人的な簡単で忘れにくくしかも突破されづらいパスワードの作り方は、そのサイト見た時に思ったことを短文化する方法。 例えばYahooなら、「正直検索機能はGoogleしか使わないなぁ」という所感を「ken398Googlede8tteru」とかにすると、これだけで強力なパスワードの出来上がり。 他にも「ここのオーナー禿げてるよな」とかから「Sonma3448turu8ge」とかでもOK。 個人の感想なので意外と忘れにくく他人から推測されにくい。
ジュン2(じゅんに) @Jun15972 2018-04-06 14:59:27
日本語の文字も当たり前にパスワードに使えるようになったら「トンカツ食ったら腹がボッコボコになって花壇が爆発した」みたいな強力な(いろんな意味で)パスワードがいくらでも生み出せるゾ
yotiyoti @yoti4423yoti 2018-04-06 15:01:33
官能小説の台詞をローマ字にしてパスワードにしたらまず破られない
山吹色のかすてーら @sir_manmos 2018-04-06 15:06:50
昔、酒の席で大先生が「今まで付き合った歴代女性の名前をパスワードにするんや。そうやな七人くらい」とかおっしゃってました。みんな、アルカイックスマイルで聞き流しました。ま、あの先生のことだ、アイドルの名前に違いない。ただ、実際に無茶苦茶長かったらしい。そういえば、そこの学生のpasswd fileを辞書アタックしたら、全然ひっからなくて「さすが、うちの学生」って言った後、 辞書をアイドル名にしたら総崩れってのもあった。曰く「一人やったらアカンぞ」
寺田33 @tera3333 2018-04-06 15:08:31
パスフレーズが安全なのは異論ないけど、パスワードの最大文字数が少なくてパスフレーズが使えないとかけっこうあって困る。パスワードの最大文字数がわかれば自分が設定したパスワードが大体わかるけどログイン時は大抵わからないので、あまり使わないとこだとけっこうな確率でパスワード再発行の刑になってしまう。
ざっぷ @zap3 2018-04-06 15:15:17
ランダムでええやろ、覚えられるやろ、ってのは数が限られてて入力が大変でなければアリ。パスワードマネージャももちろんアリアリ。ただ入力環境によってはメッチャメンドイ(慣れないスマホで入力しなおしとかかなり苛つく)ので、そういうときは一般的な単語の複数組み合わせの方が予測変換などのおかげで気軽に入力できる。(記憶されるリスクも少しだけあるけど)
ぽんぽん @apocalypse1706 2018-04-06 15:38:50
sadscient 20本登録を義務付けしても、やはり使われなくなるんじゃないかな。一本登録するだけでもめんどくさいのに。そもそも情報が流出するときは指一本だけじゃなくて全部(ユーザーとの紐付け情報になる)だから、登録しているのは1本だろうが5本だろうが20本だろうが、別に変わらないのでは。20本登録するとセキュリティが向上するってのはなぜ?
佐渡災炎 @sadscient 2018-04-06 15:45:14
apocalypse1706 そうじゃなくて、機器側で登録できるようにしとけって話で、必ず20本登録しろなんて話は誰もしていない。
佐渡災炎 @sadscient 2018-04-06 15:46:09
apocalypse1706 「換えが効かない」って言うからセキュリティ向上じゃなくて冗長性確保の話だと思ってたんだけど。→20本登録するとセキュリティが向上するってのはなぜ?
Shun Fukuzawa @yukichi 2018-04-06 15:50:52
Runagate 1 password はスマホ同期なので、事実上複数端末にバックアップしてますね。しかし、トレンドマイクロはパスワードマネージャー持ってるのに。 https://www.trendmicro.com/ja_jp/forHome/store/pwmgr.html
アルビレオ@炙りカルビ @albireo_B 2018-04-06 15:52:17
sadscient 登録する指の数を増やしても「そのうち一本と一致すれば認証」だと一致する可能性が増える分だけ理論的にはリスクが増えることになる。(大して違わないだろうけど)「○本以上一致すれば認証」だと安全性は向上するけど指を変えて何度もスキャンさせるか複数の指を同時にスキャンできるセンサーが必要になる。登録できる数を増やすことにどういう効果を期待しているのかいまいちわからないです
伍長 @gotyou_H 2018-04-06 15:57:55
しかし「単語の組み合わせがいい」という話をしても、半端に聞きかじって単語でいいと解釈して、史上最弱パスワードとして有名な「password」にする奴が発生する恐ろしい世界なので、視聴者のレベルに合わせるとこういうことになるのかもしれん(せめてp@ssw0rdにしてくれ的な)
fukken @fukken 2018-04-06 16:22:32
私は攻撃のログを読んだ事はないが、それでも「攻撃ツールがleetに対応している事例はさほど珍しくないのでは?」くらいの想像は普通にできるわけで、知識以前に単純に知能が足りてない。私は管理ツール派。
惑星ハーブティ(と井戸の底の犬) @STAR_LIGHT1536 2018-04-06 16:36:09
推しキャラが隠岐に流刑にされた年とかの方がまだマシそう
千冬@天てれ @itutitottk 2018-04-06 16:37:47
何万語続いたパスワードでも見るハッキングソフトが見たら一瞬でわかるのでは?
アルビレオ@炙りカルビ @albireo_B 2018-04-06 16:38:11
sadscient あ、そのコメント読む前に書いちゃったので。でも指紋流出のパターンって指をもがれるとかじゃなくて粘土などで複製を作って認証に成功したとからしいので、必要なのは冗長性の確保より「複製された指データの削除」とかの方だと思う。どの指が複製されたのか特定は困難だろうから結局現実的ではなさそうだけど
アルビレオ@炙りカルビ @albireo_B 2018-04-06 16:45:28
sadscient 登録数を増やして「指をもがれても他の指で認証可能」としても、指をもいだ犯人が認証を通ってしまうので、有効そうなケースは「両手をやけどしてほとんど指紋が残ってない」とかですかね
青列車@leTrainBlue @EF61501 2018-04-06 16:57:45
誕生日なんてのは最も脆弱なネタで電話番号や車のナンバーなんてのも危なっかしい。でも自分は良く知ってるけど他人は知らないネタは強いよね。例えば学生時代の出席番号とか、今の会社じゃなくて以前勤めていた会社の個人コードとか、2度目の彼女(彼氏)に告白した日或は振られた日とかならばれにくいだろうね(^^);
FX-702P @fx702p 2018-04-06 17:10:18
前いた会社は給与明細がアウトソーシングされた外部サイトに見に行くんだけど、ログインのパスワードが「最初に英数記号まじりの8文字が配布されて変更できない」というクソ仕様だった。
blade0@オッ㌠ @blade0 2018-04-06 17:11:01
さすがにこの水準では被害者製造機だな…そんなあなたにウイルスバスター的なマッチポンプ疑われ得るレベル
nekosencho @Neko_Sencho 2018-04-06 17:25:44
なに? ランダムな家がいいの?
sakサック⭐⭐@レダミ・山村・馬渡ようこそフロンターレへ!! @sakfrontale 2018-04-06 17:30:25
どこかでトレンドマイクロからカペルスキーに変えようと思ってたので決心ついた。 #スポンサーファースト #frontale
裸神装攻☆悪趣味な風🔰 @Selector_8743 2018-04-06 17:50:33
一方NHKは昨日この件と似た事を高校講座でやっていた(再放送)
tamama @tamama666 2018-04-06 18:02:21
gotyou_H アルファベットではなく全角半角混じりのカタカナがパスワードとして使えるようになればセキュリティ上がりそ
小書会@日曜日西め27b @kosyokai 2018-04-06 18:03:39
トレンドマイクロがソース…?
junq @jannqu 2018-04-06 18:06:55
オリジナルの呪文詠唱でもパスワードにしとけばいいと思う(厨二)
mimon @mimon01 2018-04-06 18:11:18
私は日本語をカナ入力しているから、適当な文章を「英数字モード」でカナ入力すると、海外からのアタックには強いと思う。例えば、「風は花々揺っている」なら"tp@ffuf@u8Zwe."になる。
Mizuta Fumitaka @Humi_TW 2018-04-06 18:15:09
leet使うにしても、もっと気の利いた使い方しないとなあ…まあ、短くても覚えられる範囲でのユニークな文字列の複数組み合わせで20文字以上だったら問題ないのだけれどね(^^)
お猿さん@喪中なう @mamachari3_Jpn 2018-04-06 18:22:56
とりあえず百人一首をローマ字入力してるんだが、、、
ボトルネック @BNMetro 2018-04-06 18:30:40
パソコン全然詳しくない俺でも、さすがに今どきハッカーが単語のあたりをつけて手作業で解読してるわけねーだろと思うけど、番組を作ってる人はそういう認識なのかな?
セバスチャン小林(裏) @Dongpo_Jushi_x 2018-04-06 18:31:39
パスワード文字数制限あるのは結構謎だな。別にパスワードが100文字になってもサーバに登録されるのはそれを暗号化して規定の長さにまとめたデータ(ハッシュ)なので長くても問題ないはずなんだが。
ボトルネック @BNMetro 2018-04-06 18:31:45
パスワードといやキャッシュカードの暗証番号はいまだに4桁の数字だよね。
いくら @YamadaIkra 2018-04-06 18:31:45
8文字以内で英数記号混ぜろとか糞みたいなパスワードを強要するサイトでは仕方なくやることもある。辞書に載ってない単語だけど。
プリビリード @prbrd1 2018-04-06 18:35:09
覚えやすくていいし数字や小文字大文字混ぜたりしなくてもいいからとにかく長いほうがいいんじゃなかったか
ぽんぽん @apocalypse1706 2018-04-06 18:52:11
sadscient よく分からないけど、一本流出したらそれ消してほかの指を登録すればいいんじゃないのかな。一気に20本登録して、本人の紐付けと一緒に流出したらそれこそ取り返しが付かないのでは(笑)
ぽんぽん @apocalypse1706 2018-04-06 18:55:34
ただまああれだ。運用的には「そもそも流出することを前提」に考えないと、危なくて使ってられないってのはある。光彩認証とか、変えようがないものが流出したらどうにもならん。マイナンバーカードを認証に使うとか言われたら、もうそんなところは使えない。
はりあ~@ワルキュリア @TNaka2011 2018-04-06 19:05:50
.hackにおけるThe Worldのエリア生成が「Δ(デルタサーバー) 隠されし・禁断の・聖域」みたいな感じで3語のワードでエリアを生成するようになっているんだけど、これと似たようなことをやればいいということか
ふひひっ☆ @satoda3104s2 2018-04-06 19:11:00
トレンドマイクロってウイルスバスターとかセキリュティソフトの会社でしょ?この程度のセキュリティ意識じゃ支離滅裂だよね?セキュリティソフトの会社名乗るのやめてくれないかな?
桜花ゲートウェイ@多摩丙丁督 @Sakura87_net 2018-04-06 19:15:17
きっと20年前のトレンドマイクロに聞いたのを掘り起こしてきたんだよ。
奥山犛牛 @bogyu 2018-04-06 19:18:28
高木先生は「5万語の辞書からランダムに3つ」を推奨か。真にランダムなら 50000^3 = 1.250E+014(通り)だから確かに強力だけど、無意識に好きな単語や関連のある単語を使ってしまうとあっさり破られそう。
はたさん @aki_hatamoto 2018-04-06 19:22:00
apocalypse1706 そうそれ言いたかったんだよ。検索するともう中国のハッカーが生体認証もクリアするのは難しくないって言ってる記事が出てくるしそれによると実際指紋認証をクリアするためのキットが一般人でも簡単に入手できる状況らしい。どんなテクノロジーだって破られることを前提にしてどれを運用していくかを考えたい。
だいすけ @daisuke_n 2018-04-06 19:22:01
とりあえずルー語でもパスワードに使ったらいいんじゃね?
はたさん @aki_hatamoto 2018-04-06 19:24:07
ちなみにこの記事。 ttps://the01.jp/p0006536/
neologcutter @neologcut_er 2018-04-06 19:29:37
マスコミは政治家(特に野党)や芸能人のケツばっかり追ってるから、理系の知識が期待できないスカなのはしょうがないよね~。
てのひら @TOan_canth 2018-04-06 19:59:19
好きな文章をローマ字にして、Lを1にとかはしますね。最近は半角英数字混ぜて作れって指示が出ますし。
BUNTEN @bunten 2018-04-06 20:00:03
使ってるサイトに英数半角6文字以内って制限のところがあって頭抱えた。
もうだめぽ @moudamepo150701 2018-04-06 20:09:25
「pasuwaado」が案外盲点だよ(嘘
らぃりる-A列車PCオススメ! @Liriru 2018-04-06 20:14:59
ぶっちゃけ、ローマ字で文章書いてやるのが最強だと思う。まあ、パスワード自体がそのうちダメになる技術だろうけど
@funft 2018-04-06 20:23:54
今使ってるパスワードを三回繰り返すだけで飛躍的に強いパスワードになるよ
すいか@12/23(Sun) 北ゲー定演#1 @pear00234 2018-04-06 20:29:32
aki_hatamoto 流出じゃなくて「突破」されたら、って話だな。目玉取り替えろとか手首から先取り替えろとか無茶言うなみたいな。
mikumiku_aloha @mikumiku_aloha 2018-04-06 20:31:45
ケビン・ミトニック曰く、ソーシャルハッキングが有効との事なので、当たり前ですが覚えられないようなパスワードにして、どこかにメモ書きとかしないように。
🍺番長♨️ @acrobunch 2018-04-06 21:09:19
「パスワードの定期的な変更を」って頻繁に告知してくるサイトに限って登録パスが12文字までとかのクソ仕様をまず何とかしろよと思う
寿限無る @jugemoon 2018-04-06 21:14:48
情報提供トレンドマイクロってなってるけど、まさか安全なパスワードの事例としてトレンドマイクロがこんなの指南しないと思うんだけな。もししたのなら、ウイルスバスター使うのヤメようかと悩んでしまう。
子ぬこ @konukopet 2018-04-06 21:25:51
メディアで推奨してるパスワード作成方法をやめるだけでかなり安全性が保てる気がしてきた…
うまみもんざ @umamimonza 2018-04-06 21:32:33
そういえばトム・クランシーの小説にあったな、暗号文が解読されにくくなるよう、文章内に「チェコスロバキアの電話帳からてきとうに拾った名字を3つはさむ」って手。
アルビレオ@炙りカルビ @albireo_B 2018-04-06 21:34:49
konukopet おかしなやつだとつっこまれて話題になりやすいだけで、それ以外はだいたいまともですよ
のび @Novifam 2018-04-06 21:34:54
ローマ字変換とみかか変換繰り返すだけでも無限に長くて英単語も日本語単語も含まない文字列簡単に作れるだろ
PON[鯉]℃℃℃2018 @pon1225 2018-04-06 21:35:15
よーしたまにはためになる記事シェアしちゃうぞ
らくしぃ @x891rksy 2018-04-06 22:10:00
自分の姓と名と好きな食べ物の3つをランダムに並べてからみかかする shihtキーを法則性(1文字おき等)をもって押す これだけでかなり強いのに覚えやすいパスワードになるよ
玉藻さん@地球 @Roseate_Rosy 2018-04-06 22:13:39
ランダムだろうが妙な文字列だろうが短ければすぐやぶられるので長い文章のほうがいいよ、というすごく当たり前の話なんだよなぁ……
げん @gen_1973 2018-04-06 23:02:29
セキュリティソフト出してる企業がウイルスばらまいてるって噂もあるもんな。自分達が破りやすいパスワードを教えてウイルスの培地として利用するつもりだな。
風祭司 @whoxi4 2018-04-06 23:42:59
とりあえず今時12文字以下しか設定出来ないサイトは即刻改善してくれ
風祭司 @whoxi4 2018-04-06 23:46:19
みかか変換式(キーボードのひらがなキー読みで英字キーを押す)はかな打ちの人間はともかく、ローマ字打ちの人間には覚えにくい罠。普通に文字列数増やした方がマシ。あるいは単語を2つ以上にするなど
谷部覧博 @Yabe_MiHiRo 2018-04-06 23:48:46
安全であるかはともかく「覚えやすいパスワードを作るワザ」としては間違ってるわけじゃんない。
フローライト㌠ @FluoRiteTW 2018-04-07 00:14:13
ぶっちゃけ、自分の名前をコピペすれば、漢字数文字なんて明確に特定個人狙ってこない限りランダム生成じゃ引っかからないんじゃないのかな
近藤 和宏 @kondoujp 2018-04-07 00:37:55
drydog_jp パスワード "リマインダー" で、マルチバイト文字しか使えないクソサービスとかあってね……
新しい名前が思いつきません @NewName_NoIdea 2018-04-07 00:42:12
Liriru ただパスワードの代替手段が今のところ何も浮かんでいない気がします…
近藤 和宏 @kondoujp 2018-04-07 00:46:56
x743 "secure" というパスワードは設定できても、"安全" というパスワードは様々なシステムで設定できないという意味ですね、分かります。
近藤 和宏 @kondoujp 2018-04-07 00:49:25
まぁ、パスワードの認定って結局基本的にバイトストリームでの一致評価になるので、漢字類はエンコードの問題とかがクソめんどくさい話になりかねないので、使いにくいのですよね。(絵文字の方を見ながら)
雑音らじお@ノイズ @radionoise9982 2018-04-07 01:36:48
調べたつもりで満足して見落としに気が付かないヤツ
なぽりん@冬夏そびれた @NAPORIN 2018-04-07 01:51:49
以前知った、ある程度長い文章の母音を抜く(またはx字おきに採る)という方法、これは結構いいなとおもった。
Naruhito Ootaki @_Nekojarashi_ 2018-04-07 01:57:38
「5万語の辞書から3つ」そのまま使ったら125兆パターンでしかないんだが。動画中の2785京より安全だって?
佐渡災炎 @sadscient 2018-04-07 01:59:42
apocalypse1706 流出の話なんてしてないんだけど。 sadscient
佐渡災炎 @sadscient 2018-04-07 02:02:32
albireo_B 流出の話なんてしてねえんだけど。今の指紋センサーって切り傷とか水虫とかでも反応しなくなるんで。
アルビレオ@炙りカルビ @albireo_B 2018-04-07 02:06:39
sadscient 冗長性確保が無意味とまでは思わないけど、20本登録を強制するのは手間とそれによって得られる利益のバランスが悪すぎるので、冗長性確保するなら指紋以外の認証手段も用意する方が現実的ではないかと
佐渡災炎 @sadscient 2018-04-07 03:09:36
albireo_B 20本登録を強制するなんて話は誰もしていねえ。
佐渡災炎 @sadscient 2018-04-07 03:11:47
「10パターンじゃせいぜい2本分しか登録できないから20本ぶん登録できるようにして欲しい」って話なのに流出だの強制だのと、日常生活に支障来すレベルの読解力の奴が複数いて笑うわ。
飛鷹隼 @junhiyoh 2018-04-07 03:35:29
こういっちゃ何だがカスペルスキーやシマンテックならまだしもトレンドマイクロな時点で「ああトレンドマイクロね理解」で終了した案件……
ほさかよしのぶ @YoshinobuHOSAKA 2018-04-07 05:00:39
パスワードの文字数制限ってのも癌なんだよなぁ。 10文字くらいで打ち止めなところが意外とまだある。
雪(せつな)名 @setsuna9 2018-04-07 05:06:42
いっそ「annzennnapasuwa-do」で行こう
ぽんぽん @apocalypse1706 2018-04-07 05:20:05
sadscient もともとこの話はセキュリティの話なんだな
さうえささみ @SaueSasami 2018-04-07 08:36:15
BNMetro 一時期ゆうちょ銀が暗証番号プラス静脈認証の2段構えしてたけど最近見ないな。不評だったのだろうか。
Ichigo Mayo @15my 2018-04-07 09:22:05
KeePassのエントリ数見たら100個超えてたのでコレ全部暗記するとかどの道無理ですね。
宇 宙@space_in_space @space_in_space 2018-04-07 09:23:27
辞書にないように改変した短い言葉<辞書にあるけど長い言葉
宇 宙@space_in_space @space_in_space 2018-04-07 09:24:03
オススメパスワードは自作俳句(それだと覚えられないなら、マイナーだけど好きな俳句とか、詩とか
えくす(くらげ社広報・・・のはず?w) @ExwoodPorta 2018-04-07 09:24:45
今の時代、3Dプリンターがあるのだから、マスターパスワードを物理キーにしてしまうのも手かもしれない(謎
ogirin @ogirin_Z 2018-04-07 10:06:11
「健康と美容のために、食後に一杯の紅茶」 「ロシアン・ティーを一杯、ジャムではなく、マーマレードでもなく、蜂蜜で」 ...この位はやっておけと言う事だな(違)
Daiji @Daiji75 2018-04-07 10:11:52
強いて好意的に解釈するならアレだよ、パスワードを覚えられなくて書いた紙なり付箋なりをそのへんに貼っておかないといけないようなご老人向けのアドバイスだよ、きっと……
hatano @_hatano_ 2018-04-07 10:22:31
指紋認証って向き変えてスキャンしても普通に認証するんじゃ?
古橋 @FuruhasiYuu 2018-04-07 11:00:58
パスワードで一番まずいのは結局「誰かが考えそうなやつ」だから、今回のテレビみたいな「みんなが真似しそう」なのは本末転倒だし害悪だよね。むしろ破る側の人がわざと流布してる説まであっても良いぐらいのではw
Red_Skier @Red_Skier 2018-04-07 11:22:17
オリジナルの川柳かハイクを作ればいいのか…
風のSILK @PSO_SILK 2018-04-07 12:03:56
絶対他人に知られたくないような内容(知られると恥ずかしい内容)にしておくと、うっかり口にすることもなくなりソーシャルハッキング対策になる。これ豆ね。但し漏洩した際のダメージは色々計り知れない。
ハナヤマドリ @hanayamadori 2018-04-07 12:09:03
文字制限してくるわ大文字数字入れろと言われるわで、最新のトレンドを汲んだパスワードを設定できたためしがほとんど無い。
今そこにある神崎 @Euri_K 2018-04-07 12:18:10
サイトやピクシブにすらUPしてないオリキャラのフルネーム+特定の数式(xにはオリキャラを作った西暦からの日付等を割当)はかなり強度高めで行けるので絵師におすすめする。何しろ基準が自分の脳内にしかない。自分が認知症にでもならない限り有効。
ぱうえる @Pow_L_Cozy 2018-04-07 12:39:09
海外のペンネームやハンドルネームとかみれば、文字の置き換え文化なんてWWW以前から存在していて、パスワードにも自然と利用されてきたアナグラムの古典ギミックのひとつ。簡単な例だとデビッド>Dai5idとか@スノゥ・クラッシュ(1992年)。現代においてこれが安全強化になるという提案流布は微妙。
ぱうえる @Pow_L_Cozy 2018-04-07 12:42:59
Pow_L_Cozy>そういやワシもパウエルを置き換えてる。何も考えずにこういう置き換えた文字列を使う。セキュリティ系のプロなら当然想定内だろう。
三楽斎 @nekokagetora 2018-04-07 13:11:09
音声認識+パスワードで 端末が「合言葉は?」って聞いてきたタイミングで音声で答えるというのを考えたが録音されれば終わりだった。
Kenrow ?! @KenrowY 2018-04-07 13:12:20
Bikenekosuke おそらくエンジニア畑じゃない人から出てきた情報かと・・・もしくは何年かに一度ある技術者がごっそり入れ替わる事件が内部であった直後か
きゃっつ(Kats)⊿12/13がなくり武道館 @grayengineer 2018-04-07 13:25:19
だれでも簡単に思いつくようなことはすでに悪意ある攻撃者も思いついているっていう前提でないとね。だから「あまりにも多数の組み合わせを試行しないといけないのでリスクがメリットを上回るから攻撃しない」という方向に持っていくしかない。高木さんが言うようにじゅうぶんな母数からのランダム抽出をどこかに入れることでこれをクリアするのが無難。なおかつ覚えやすいという点もカバーするために辞書の単語を利用するってことだよね。
アルビレオ@炙りカルビ @albireo_B 2018-04-07 14:12:10
sadscient 「最低でも20本」の意味を取り違えてましたすみません。ところで「複数角度」の方は現状でも対応しているものが多いと思いますよ。一つの指の登録で複数回スキャンするのは角度や触れる指の部位がずれても「同じ指」として認識するためでもあるので
佐渡災炎 @sadscient 2018-04-07 14:13:15
apocalypse1706 冗長性の確保はセキュリティに含まれないとかいう謎の世界線の住人ですか。
カッズミール・ワイオット十三世 @twittakaku 2018-04-07 16:00:35
どこを変換したか忘れそうだし覚えやすくもないと思う
出無精マスク @annoupoteto 2018-04-07 17:29:57
kuginnya お前ここははじめてか?力抜けよ
おろろ @fYe39CoQsPrbZVK 2018-04-07 18:58:01
「パスワードは英数字のみでお願いします」日本企業オンリーの謎システム。滅びろ
ぽんぽん @apocalypse1706 2018-04-07 22:59:21
sadscient 「セキュリティの話じゃない」ってのは君が言ったことだろう……
佐渡災炎 @sadscient 2018-04-08 00:07:29
apocalypse1706 「セキュリティの向上の話ではない」と「セキュリティの話ではない」の区別が付かないのでしょうか。
佐渡災炎 @sadscient 2018-04-08 00:09:34
albireo_B デバイスの記憶単位としては「指と部位と角度の組み合わせ」で1パターンなので、10パターンだとせいぜい2本分しか記憶できないよなって何度も言ってるんですが。
アルビレオ@炙りカルビ @albireo_B 2018-04-08 00:38:13
sadscient 「スキャンしたデータを丸ごと覚えているわけではなく、そこから抽出した特徴点との一致を判断している」と聞いたことがあるので指一本分のパターンの数にはそれほど制約がないと思っていたんですが、そうでもないんですね。勉強になりました
佐渡災炎 @sadscient 2018-04-08 02:54:19
albireo_B 指一本分のパターン数に制約があるなんて話もしてないんだけど…ほんとに読解力ポンコツだな。登録できる10パターン全部指一本に振ってもいいし指一本に付き1パターンずつ10本登録してもいいけどそれだと利便性が低いから指1本につき数パターンずつ登録するにしても全部で10パターンじゃ足りねえよって話なのに。
佐渡災炎 @sadscient 2018-04-08 02:55:15
指紋センサーの面積の問題とかあるだろうけど、「パターン数なんてそれこそメモリ容量くらいしか制限の根拠はないので20本ぶん登録できて然るべきだけどそうなってない」という現実の実装がどうなってるかすら知らないで噛みついてきてたのかよ。
アルビレオ@炙りカルビ @albireo_B 2018-04-08 03:17:36
sadscient 「記憶するのは各パターンから抽出した特徴データなのでパターンを記憶するのは指一本分の特徴抽出までの間、指一本分の特徴データの大きさはパターンが増えてもそう変わらないので容量上の制約となるのはパターン数ではなく登録する指の本数だと思っていた」という意味です。機械の方ではどの指かを区別せず10パターン分の特徴データを全部持っていて、そのうちどれかと一致するかを調べるのならそうなるのも納得です
アルビレオ@炙りカルビ @albireo_B 2018-04-08 03:19:03
昔ThinkPadの指紋登録をしたときは「指ごとに登録」だったのでそのイメージが余計な思い込みになっていたっぽい
すいか@12/23(Sun) 北ゲー定演#1 @pear00234 2018-04-08 08:56:14
Daiji75 ぶっちゃけ、そこらに貼りつける、さえしなければ「パスワードをメモっとく」ってのは十分にセキュアかつ実用的な、「強いパスワードを運用する手段」として現実的な方法の一つなんじゃないかとすら最近思う。
万華庵:考案中 @mangekaren 2018-04-08 11:23:06
この手の話聞くとテレビ局はもう馬鹿製造機でいいよ。真に価値ある情報は拡散するとダメになる(金にならない)って暴露しているようなものだしね
喪中ですが appli鮪 @appliTuna 2018-04-08 11:38:48
見知らぬ国のトリッパー(wをダウンロードします ↓ 検索文字列のどちらかに4文字以内の英数字を入れます ↓ ランダムな文字列が生成されまくります ↓ カタカナが混ざってないのをパスワードとして使いましょう
mikunitmr @mikunitmr 2018-04-08 14:30:09
漢字が使えると、格段に解読難度が上がるんだけどなあ。
mikunitmr @mikunitmr 2018-04-08 14:34:30
某サイトでは、数字入りの顔文字をパスワードにしてみた
T_Suzuki @tseleki775 2018-04-08 17:21:10
それやるくらいならpasuwa-doの方がマシなんだよなー
佐渡災炎 @sadscient 2018-04-09 01:13:53
apocalypse1706 お前の能力では無理でしたか。仕方ないですね。
ゴミ箱 @tlash_can 2018-04-09 03:08:29
好きな外国人俳優の姓を子音と母音に分けて母音のみ逆にするのは昔やった。辞書に乗ってないやたら長いパスワードの出来上がり
八代泰太 @clockrock4193 2018-04-09 19:46:17
手元にある聖書からランダムにページを選び「ページ数+冒頭の語句」を3ページ分……これで行ける
パラベラム @parabera 2018-04-10 05:56:55
kuginnya なんでこんな暴言が評価されてんの?
ユーコン @yukon_px200 2018-04-10 14:19:31
数字部分のお勧めは結婚記念日な。誰も覚えちゃいねえってw
あごにー @Agony_01 2018-04-10 14:35:32
まともな人は確かに長い語句にしているとは思うが、いまだに世界最弱のパスワードに「123456」「password」「admin」が並んでいる現状、まともなパスワードを考えるきっかけレベルにはなってくれるといいんだが。
ネナシグサ @TeaAndG 2018-04-11 02:06:53
自分の黒歴史ポエムの題名とか使うと覚えやすい、というか忘れられないし相当セキュリティ的には鉄壁。ただし万が一流出すると色々な意味で致死レベルの大ダメージになる
なんば @namba_1301 2018-04-11 04:52:37
パスワードで必要なのは長さだけ 向こうは人間じゃないんだから下手な浅知恵入らない
Localio Projects @LocalioProjects 2018-04-11 09:54:11
パスワードマネージャーを使って各サイトに個別のランダムな長めのパスワードを発行して管理、パスワードマネージャーをアンロックするパスワードだけを覚えましょう。
まさかなまき @MASAKANA_MAK 2018-04-11 10:29:29
「健康と美容のために、食後に一杯の紅茶」と「ロシアン・ティーを一杯。ジャムではなくママレードでもなく蜂蜜で」 が、俺の知っている定番パスワードかな。
köümë @tknr_koume 2018-04-11 16:11:10
一方子会社の読売TV制作のルパンp5では管理者権限を盗って静脈認証をパスしていた
ログインして広告を非表示にする
ログインして広告を非表示にする