パスワードを忘れた? アカウント作成
14231385 story
情報漏洩

最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 38

ストーリー by nagazou
勇者123456 部門より
taraiok 曰く、

過去に漏洩した10億を超える認証情報を元に分析したところ、未だに「123456」のパスワードが多く使われていることが分かった。この分析はコンピュータエンジニアリングの学生であるAtaHakçıl氏が先月実施したもの。さまざまな企業で発生したデータ侵害後、オンライン上に漏洩したユーザー名とパスワードの組み合わせを分析したという(ZDNet分析に使われたデータセットなどslashdot)。

同氏の分析結果によると、10億件以上のデータの中から重複していない一意のパスワードは168,919,919個であったという。さらに700万以上が毎度おなじみの「123456」文字列であったとしている。パスワード長に関しては平均で9.48文字であったことも分かったという。ほとんどのセキュリティ専門家は、16〜 24文字以上の長いパスワードを使うことを推奨しているが、9.48文字はとくに少ないはいえないとしている。

別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。ほとんどの場合、ユーザーは文字のみ(29%)や数字のみ(13%)だけのパスワードを使用している。
つまり10億個のデータセットに含まれていたすべてのパスワードのうち、約42%が辞書攻撃に対して脆弱であることを意味している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • >別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。

    ・パスワードには数字や記号を使ってもいい(必ず使え、ではない)
    ・パスワードの長さはいくら長くてもいい

    ってことにしてくれれば安全になるのでそうしてくれ

    • by Anonymous Coward on 2020年07月06日 17時44分 (#3846590)

      >パスワードの長さはいくら長くてもいい
      それ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)

      たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。
      無限超のパスワードを許可するポリシーなどあり得ない。

      「記号」の方も同様.「コレとコレのみ」と具体的に指定するならともかく、
      「記号ならなんでもOK」ってなると動作確認が大変だ。
      まずは「記号」の文字セットを定義する所から。

      親コメント
      • by Anonymous Coward

        ASCIIのみって定義しておけば問題ないように思うけど

      • by Anonymous Coward

        > たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。

        タイムアウトでは?

      • by Anonymous Coward

        「128バイト以内の配列」くらいに抽象化して考えられないの?
        記号が文字がと言うのがばからしい

        • by Anonymous Coward

          同感。パスワードは文字で考えず、任意のバイト列を受け入れるようにしてほしい。

        • by Anonymous Coward

          それで\0を含む初期パスワードが発行されたりするんですね。
          不幸なパスワードに当たった人は大変だなあ。テスターさんの心の健康にも気を配りたいですね。

      • by Anonymous Coward

        極端な例と動作確認を口実にセキュリティの常識に逆らう部下を持って気の毒だ。
        無制限が怖いなら「現実的なパスワード」して十分に長い100文字の10倍程度にしておけばいいだけの話。

        文字種もどうせライブラリのハッシュ関数に食わせるのだからバイナリ打ち込まれようとそのまま受け入れればいいだろうに。
        こういう過剰な制約を加えるシステムはだいたい「イケてない」

        • by Anonymous Coward

          そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p

          まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。

          • by Anonymous Coward

            まず、72文字近くパスワードを打ち込めるシステムは一般的なのだろうか、

            そして、(ソルトを考慮したとしても)40文字50文字に文字数を増やさずに
            数文字や十数文字しか受け入れないシステムを作る理由はなんなのだろうか?
            # 数文字しか受け入れられないハッシュ関数を独自実装している訳でもあるまいし

            • by Anonymous Coward

              理由が何かと言えば、それ以上の長さのパスワードを望むのは逸般人だけだからでしょうね。
              安全性の要件を満たすだけならその程度の長さの無作為な文字列で十分です。
              長い文字列が設定できなくて内部実装まで持ち出してぶーたれるのは逸般人ぐらいのものですよ。

              • by Anonymous Coward

                その意見はそのまま、逸般人とかいう人の要望を、
                極端な例(1TB)とか内部実装(72文字しか受け入れないハッシュ関数)とかを
                持ち出して拒否している人たちにも当てはまりそうですね。

              • by Anonymous Coward

                > その程度の長さの無作為な文字列で十分です。

                そして、多くの人は「123456」を使用する。
                (おそらく、自由に入力できないから覚えやすいのを使うのだろう)

              • by Anonymous Coward

                んー、何言ってるのかわかんない。

                多分あなたの言う逸般人は、当然一般人ではないけど、開発に詳しい人間ともまた別種の人間ではあるだろうね。
                その逸般人は「長いパスワードが受容されるべき」と考えながら同時に「仕様を具体的に決定しない」タイプの人間だ。

                だから話の軸がブレブレになる。感覚的なんだね。

          • by Anonymous Coward

            そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p

            まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。

            JR東海の新幹線EX予約発券マシーンはパスワードの8桁目以降を無視する仕様になってますね
            まあそれで実際に発券ミスとか発券漏れが起きてないから問題ないのでしょうが

      • by Anonymous Coward

        >パスワードの長さはいくら長くてもいい
        それ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)

        たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い

        エンジニアとかプログラマじゃなくて数学者の思考だコレ
        マジこわい

    • by Anonymous Coward

      Unicode使わせてくれるだけで格段に安全になると思うよ。

      • by Anonymous Coward

        安全 << 全角・半角が分からん人のサポートコスト

        • by Anonymous Coward

          半角漢字を復活させよ!

    • by Anonymous Coward

      自分よく|\{}使いますけどアッサリ破綻するトコおおいでふね〜

  • むしろ文字種が限られるのだからBFAに対して脆弱なんではないでしょうか?

    辞書攻撃は既知のパスワードをあたって行くので、
    特殊記号が含まれてようが辞書に載ってればお構いなしです。

  • by donadona (37711) on 2020年07月07日 7時55分 (#3846879)

    文字のみ(29%)や数字のみ(13%)だけのパスワードってあるけど、そもそも数字しか受け付けない認証が1割、文字しか受け付けない認証が3割もある(つまり母集団の問題)だったったりして
    #実際、数値しか受け付けないのは1割ぐらいある気がする。特に役所関係とか銀行関係とか。

  • by Anonymous Coward on 2020年07月06日 17時16分 (#3846572)

    やっぱり0123456789ABCDEFにしないと。

  • by Anonymous Coward on 2020年07月06日 17時19分 (#3846575)

    以前にも一番多いと言われていたし
    頻繁に変えたり、複雑なパスワードを考えるようなリテラシーがあるなら使わん

    鉄板は永遠に鉄板なのだ

  • by Anonymous Coward on 2020年07月06日 17時28分 (#3846581)

    これって古い漏洩データを合算する限り同じ結果になるんじゃないの?
    Twitterのトレンドじゃないけど、新しいデータを重くしないと最近の傾向にはならんでしょ。

  • by Anonymous Coward on 2020年07月06日 17時38分 (#3846587)

    今の所42%の生贄があるなら、そっち狙うんじゃない?

  • by Anonymous Coward on 2020年07月06日 17時41分 (#3846588)

    数字は0から始まるんだから、「012345」であるべきだ。嘆かわしい。

    #by 原理的0発進論者

  • by Anonymous Coward on 2020年07月06日 18時53分 (#3846639)

    「それによる被害全てに対する刑事民事すべての責任を負う」とでもしとけば良いさ
    #多分これで駆逐できる

  • by Anonymous Coward on 2020年07月06日 19時06分 (#3846653)

    俺のパスワードを公開しやがって!!

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...