2015.2.6 05:00

パスワードで重要なのは「定期的な更新」ではなく「長さ」だという事が明らかに！

【やじうまWatch】パスワードの変更間隔、16日でも27年でも効果は大差なし？　定量的評価の結果が話題に
http://internet.watch.impress.co.jp/docs/yajiuma/20150205_686981.html

［記事訂正］パスワードの変更間隔、16日でも27年でも効果は大差なし？　定量的評価の結果が話題に http://t.co/EUB0x7OOvi
— INTERNET Watch (@internet_watch) 2015, 2月 5

記事によると

・Twitterユーザーの@pseudoidentifieさんが公開した「パスワードの最適変更間隔とその定量的効果の評価」という考察が話題に

・辞書に載っている10万語の2語組み合わせたパスワードの場合、16日間隔でも約27年間隔でも効果は殆ど変わらない

・4桁の数字パスワードであれば27.4時間で突破されるので、パスワードに必要なのは定期変更ではなく「長さ」であると見る事もできる。

この記事の反応

そうなのか～　／【やじうまWatch】パスワードの変更間隔、16日でも27年でも効果は大差なし？　定量的評価の結果が話題に -INTERNET Watch http://t.co/4BoysHAs7q @internet_watchさんから
— スタパ齋藤 (@stapasaito) 2015, 2月 5

本気度やお金のかけ方でも容易に分析できるだろうね。【やじうまWatch】パスワードの変更間隔、16日でも27年でも効果は大差なし？　定量的評価の結果が話題に -INTERNET Watch http://t.co/ZqgqsYtrXV @internet_watchさんから
— jamesjiyu'15＠TERA (@jamesjiyu) 2015, 2月 5

4桁パスワードなんてその気になればスグやな・・・

PlayStation 4 ジェット･ブラック 500GB (CUH-1100AB01)
posted with amazlet at 15.02.05
ソニー・コンピュータエンタテインメント (2014-09-30)
売り上げランキング: 4
Amazon.co.jpで詳細を見る

PlayStation4 グレイシャー・ホワイト 500GB (CUH1100AB02)
posted with amazlet at 15.02.05
ソニー・コンピュータエンタテインメント (2014-10-09)
売り上げランキング: 66
Amazon.co.jpで詳細を見る

コメント(99件)

1.はちまき名無しさん投稿日：2015年02月06日 05:00▼返信

お腹すいた。

2.はちまき名無しさん投稿日：2015年02月06日 05:00▼返信

おはよ～、ペロペロ

3.Fihze Aliapoh «Absol»投稿日：2015年02月06日 05:01▼返信

おは✋うんこ中だ。

@kita_kitsu

4.はちまき名無しさん投稿日：2015年02月06日 05:01▼返信

せやな

5.はちまき名無しさん投稿日：2015年02月06日 05:01▼返信

そりゃそうだろ

6.はちまき名無しさん投稿日：2015年02月06日 05:03▼返信

明らかに！って…
昔から分かり切ったことだろ馬鹿か

7.はちまき名無しさん投稿日：2015年02月06日 05:04▼返信

パスワードに限らず

8.はちまき名無しさん投稿日：2015年02月06日 05:07▼返信

当たり前すぎる話だわな
ループ型の総当り攻撃ならずっと逃れ続けるには攻撃者が試した直後のワードを知る必要がある
もし試す直前の方に変更してしまったらセキュリティを高めるつもりの行為がただの自爆になる

9.はちまき名無しさん投稿日：2015年02月06日 05:08▼返信

ぶっちゃけ定期的に更新するのって無意味だよな

10.はちまき名無しさん投稿日：2015年02月06日 05:10▼返信

マジかよVITA売ってくるわＷＷＷＷ

11.はちまき名無しさん投稿日：2015年02月06日 05:12▼返信

定期的に再設定するのは何らかの手段で流出した場合に備えてちゃうの
総当たり解析に対抗する手段として有効でないのは当たり前のような

12.はちまき名無しさん投稿日：2015年02月06日 05:12▼返信

ソニーみたいに平文でサーバーに置かれてたら全ての努力が無駄だが。

13.はちまき名無しさん投稿日：2015年02月06日 05:16▼返信

あまり信用できないサービスは全く法則性の無い独自パスにしたほうがいい

まあ1番は馬鹿みたいにアカウント作らないことなんだが。

14.はちまき名無しさん投稿日：2015年02月06日 05:17▼返信

アルファベットと数字だけのパスワードでも、１桁増やすだけで36倍特定しづらくなるわけだろ？
当たり前じゃねとしか

15.はちまき名無しさん投稿日：2015年02月06日 05:19▼返信

侵入されていることに気がつかないまま過ごすから変えたほうがいい。
大手のネット通販とかだと事が起こったら連絡が来て気がつくかもしれんが
ハードウェアパスとかだと本人が気づかない限りそのままだからな。

16.はちまき名無しさん投稿日：2015年02月06日 05:23▼返信

長過ぎても忘れるからな…

17.はちまき名無しさん投稿日：2015年02月06日 05:37▼返信

>>12
何で豚は嘘つくの？
それは任天堂で、ソニーはハッシュ化してただろうがｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

18.はちまき名無しさん投稿日：2015年02月06日 05:39▼返信

総当りで解析されてる場合…桁を増やせばその分当てられるまでの時間は伸びる
定期的に変えたところで、確率の問題だからほぼ無意味、解析されてる最中に偶然パスワード変えれば回避できるかもだが、逆にヒットするまでの時間が短くなる可能性もある
パスワードが流出した場合…桁を増やしたところで相手には全部わかってるので無意味
定期的に変えることは一見効果があるように見えるが、結局は流出してから悪用されるまでの時間に、パスワード変更のタイミングが重ならないと意味が無いので、殆ど効果が無い
当たり前やな

19.はちまき名無しさん投稿日：2015年02月06日 05:41▼返信

認証系のシステム開発した経験のある俺から言わせるとどっちも大事なので変なガセを流さないで頂きたい

この検証でやってるのは攻撃者がIDしかしらない場合どれだけの期間で解けるかというもの
もちろんその観点から言うと更新間隔はさほど関係ない

定期的に更新をしなければならない理由はそうではなく、パスワードの流出による被害を最小限に食い止めるため
どこからか手に入れたID、パスワードのリストを利用してログインを試すというアクセスが実際に行われることが何度となくあるから

20.はちまき名無しさん投稿日：2015年02月06日 05:41▼返信

ソニーはでかいの2回やらかしてたが
1回目のは平文じゃなかったか
最近のは調べてないから知らんが
あと俺は豚じゃねえし
マリオRPGと64で任天堂は終わってる

21.はちまき名無しさん投稿日：2015年02月06日 05:43▼返信

いや、破られた後に更に被害を拡大させない為にも変えるんだろ
突破されたからもういいやみたいな言い方すんなや

22.はちまき名無しさん投稿日：2015年02月06日 05:44▼返信

>>18
アクセスログを見る限りどこからか手に入れたリストを元にしたアクセスでもログインに成功してるのは約1割程度

突破されたアカウントのパスワード更新日時を見るとどれも何年も更新されてないものばかり

実際データが抜かれてすぐ悪用されるケースは少ないから定期的に更新していればある程度は防げるよ

23.はちまき名無しさん投稿日：2015年02月06日 05:45▼返信

なぜ突破されたら一回こっきりの被害みたいな考えの奴がいるんだろう......
ちまちまちまちま気づかれない様にもの買われるとかあるぞ

24.はちまき名無しさん投稿日：2015年02月06日 05:46▼返信

映画やドラマのように数十桁をぴゃーーっと解析できないの？

25.はちまき名無しさん投稿日：2015年02月06日 05:48▼返信

実際パス抜くのって1件2件よりも大規模ってケースが多いからな
そんなもの一気に手に入れて一斉に悪用できるわけないんだから
その間にパス変える習慣があれば幸運だわな。
弾かれたら相手は他当たるだろうからな。

26.はちまき名無しさん投稿日：2015年02月06日 05:53▼返信

長かろうが更新しようが抜かれたら意味ないんだよなあ

27.はちまき名無しさん投稿日：2015年02月06日 05:56▼返信

>>20
いつのこと？？

28.はちまき名無しさん投稿日：2015年02月06日 06:00▼返信

更新するのは流出対策だろ

29.はちまき名無しさん投稿日：2015年02月06日 06:07▼返信

わいの暗号化解除用のパスワードは48桁

30.はちまき名無しさん投稿日：2015年02月06日 06:10▼返信

長いパスを定期的に更新したら最強やんか

31.はちまき名無しさん投稿日：2015年02月06日 06:13▼返信

そもそも比較するのがおかしい

32.はちまき名無しさん投稿日：2015年02月06日 06:20▼返信

>>9
無意味ではねえよ
ただ単純にパスワードが長くなればなるほど解くには難解になるというだけで
極力文字数上限を目一杯つかって定期的に変更するのが自衛になるってことだ

33.はちまき名無しさん投稿日：2015年02月06日 06:30▼返信

自分の場合、制限ない限りは32ケタだから大丈夫
日本だけは8ケタ英数半角小文字とか酷いのも未だに多いけどな
それでも結構改善したけど

34.はちまき名無しさん投稿日：2015年02月06日 06:42▼返信

メモ帳にネット上のIDとパスワードが３０種類くらいあって定期的な更新とか無理
全部ランダムで長めにしてあるからどっか一箇所がお漏らししても
そこだけの被害で済むようにはしてあるけど

35.はちまき名無しさん投稿日：2015年02月06日 06:56▼返信

実際には連続で間違えるとロックされるから、そんなに簡単に破られるわけじゃない

36.はちまき名無しさん投稿日：2015年02月06日 07:00▼返信

任天堂みたいにハックされても黙ってるところで使うパスワードは定期的に変えたほうがいいぞ

37.はちまき名無しさん投稿日：2015年02月06日 07:11▼返信

ゲームで16桁でパスワード掛けてるけど
未だにハックされた事ないわ

38.はちまき名無しさん投稿日：2015年02月06日 07:11▼返信

攻撃を総当たり式しか想定してないってどうなの

39.はちまき名無しさん投稿日：2015年02月06日 07:13▼返信

知ってた

40.はちまき名無しさん投稿日：2015年02月06日 07:15▼返信

なにをいまさら

41.はちまき名無しさん投稿日：2015年02月06日 07:30▼返信

普通に考えりゃ、そりゃそうだろ

42.はちまき名無しさん投稿日：2015年02月06日 07:31▼返信

何当たり前な事言ってんの？

43.はちまき名無しさん投稿日：2015年02月06日 07:31▼返信

日本語パスワードを普及させようや

44.はちまき名無しさん投稿日：2015年02月06日 07:33▼返信

大量にあるアカウントの一つだから

無視されやすい

45.はちまき名無しさん投稿日：2015年02月06日 07:34▼返信

運営からのハックは弾くの無理なので注意

46.はちまき名無しさん投稿日：2015年02月06日 07:35▼返信

うちのメアドでニコニコとヤマトで不正ログイン試みられたけど
パスをバラけさせてたから防げたんだけど
あの時の被害人数の多さからYAHOO!のお漏らしが怪しいわ

47.はちまき名無しさん投稿日：2015年02月06日 07:36▼返信

そりゃねぇ…総当たりされればどうしたって短いより長い方がいい

48.はちまき名無しさん投稿日：2015年02月06日 07:39▼返信

BIOSロックも物によって外せるしなぁ

49.はちまき名無しさん投稿日：2015年02月06日 07:46▼返信

他人のキャッシュカードで4桁でおろせるかやってみろよ、はちま

50.はちまき名無しさん投稿日：2015年02月06日 07:47▼返信

パスの更新って既にパスが漏れてる場合以外無意味だろ

51.はちまき名無しさん投稿日：2015年02月06日 08:10▼返信

一つ多いだけでも総当りした場合の手間が違うから当然だよね

52.はちまき名無しさん投稿日：2015年02月06日 08:13▼返信

パスワード、だいたいほとんど50桁にしているわ。

53.はちまき名無しさん投稿日：2015年02月06日 08:16▼返信

いやいや、ちょっと考えたら判ることじゃね？

54.はちまき名無しさん投稿日：2015年02月06日 08:24▼返信

４桁はなぁー怖いよねぇ～
怖いから俺長くする

55.はちまき名無しさん投稿日：2015年02月06日 08:27▼返信

会社で月一の定期更新言われてるから面倒臭いんだよなぁ
そんなんしたって一部連番扱いのパスにしかしたくないってのに

56.はちまき名無しさん投稿日：2015年02月06日 08:35▼返信

定期更新は、セキュリティ的にマイナスになることの方が多い

毎回全く新しいパスワード設定してるなら良いけど
いくつかのパスワードを定期的に回してる場合は
変更されるのを待っているパターンがあるから一度変えたパスは２度と使わないようにしないといかん

57.はちまき名無しさん投稿日：2015年02月06日 08:44▼返信

★任天堂ハード

日本３ＤＳ：　一部のタイトルだけ極端に売れて、他タイトルは死亡
日本ＷiiＵ：　死亡（任天堂タイトルも死亡）
海外３ＤＳ：　死亡（任天堂タイトルも死亡）
海外ＷiiＵ：　死亡（任天堂タイトルも死亡）

多数のマルチからハブられて、強力だった自社タイトルも減少傾向。
ユーザー層は年にソフト２～３本だけ買ってもらう幼児とライト層だけで、
それもスマホにどんどん浸食されていってる。

58.はちまき名無しさん投稿日：2015年02月06日 08:51▼返信

roboformで管理してるのでパスワードは記号使えるなら混在、かつサイトで使える最大文字数で作ってる
手入力しなきゃいけない時は死ねるけど

59.はちまき名無しさん投稿日：2015年02月06日 08:52▼返信

パスワードに@とか記号入れようとしても
アルファベットか数字にしてくださいって拒否られるとガッカリするわ

60.はちまき名無しさん投稿日：2015年02月06日 09:03▼返信

定期変更ってどこかにメモらない限り不可能だしセキュリティ的には意味がないと思うね
それ以前に辞書アタックでやられるような意味あるパスワードのほうが問題だわ

61.はちまき名無しさん投稿日：2015年02月06日 09:20▼返信

・辞書に載っている10万語を2語組み合わせたパスワードの場合
・総当たり式で攻撃者がパスワードの解析

個人情報が漏れたりした場合のこと考えてないから、結局は定期的に変えるのは必要だろ。

62.はちまき名無しさん投稿日：2015年02月06日 09:21▼返信

頭の悪い記事だな
そりゃブルートフォースや辞書攻撃に対する堅牢性なら長さに決まってんだろ
定期的な変更は本人のミスやソーシャルエンジニアリングで既に流出してる場合のリスク回避だろうが

63.はちまき名無しさん投稿日：2015年02月06日 09:23▼返信

長いパスワードを定期的に変える

これね
最低でも１５桁くらいは必須でそれを３か月おきとかに変える
パスワード覚えられんってのは甘え

64.はちまき名無しさん投稿日：2015年02月06日 09:28▼返信

キモヲタのパスワード鉄則
アニメキャラの名前が入る

65.はちまき名無しさん投稿日：2015年02月06日 09:29▼返信

任天堂もパスワード流出やってたよな

66.はちまき名無しさん投稿日：2015年02月06日 09:29▼返信

個人情報からパスワード作るとか間抜け過ぎるだろ

67.はちまき名無しさん投稿日：2015年02月06日 09:44▼返信

いやいやいや

パスワード流出が解析した結果ならともかく
会員情報の流出にはパスワード長は無力だろ

68.はちまき名無しさん投稿日：2015年02月06日 09:50▼返信

パスワードは複雑なものにしろとか、他社のサービスと
同じものを流用しないでくださいとか注意してくるくせに、
ログイン名にメールアドレスが使えちゃうとこあるよな。

69.はちまき名無しさん投稿日：2015年02月06日 09:53▼返信

定期的に変更が必要とかいってる意識が高い人なら、パスの長さ、ランダム文字列、保管方法にも気を配っているから、鯖管理者みたいに総当たりを仕掛けられる環境じゃない限りそもそも変更なんていらん。
逆に定期的に必要な、短いパス、辞書用語を利用する、PCに付箋を貼っちゃう人などは変更したところで変更によるセキュリティ強化以上にダダ漏れ体質なので無駄。

ということで定期変更ほど無駄なことはない。

70.はちまき名無しさん投稿日：2015年02月06日 10:13▼返信

最近は長めのパスワードにしてるな
16文字とかそのくらい

71.はちまき名無しさん投稿日：2015年02月06日 10:19▼返信

そんなの当たり前だろ。
ランタイムみたいに数秒に1回変えてるとかならまだしも。
4桁のパスワード1日1回変えるより、10桁のパスワード1年毎に変える方がいいに決ってる。

72.はちまき名無しさん投稿日：2015年02月06日 10:23▼返信

パスワードの文字数指定してくるサイトぐう嫌い

73.はちまき名無しさん投稿日：2015年02月06日 10:24▼返信

これ以上の文字数にしろってのはわかるが６～８文字にしろとか指定されるとほんとムカつく

74.はちまき名無しさん投稿日：2015年02月06日 10:45▼返信

両方じゃね？

75.はちまき名無しさん投稿日：2015年02月06日 10:45▼返信

4桁で27時間って手動でもそんなにかからんやろ

76.はちまき名無しさん投稿日：2015年02月06日 11:17▼返信

当たり前だが、こんなこともわからなかったのか？

77.はちまき名無しさん投稿日：2015年02月06日 11:23▼返信

※ただし流出したら関係ない

78.はちまき名無しさん投稿日：2015年02月06日 11:23▼返信

記号が使えない、大文字数字を含めろ、文字数決め打ち、１年毎に更新しろ・・・ぐうムカつくんじゃ
忘れてログインできなくなる

79.はちまき名無しさん投稿日：2015年02月06日 11:26▼返信

長くすることと、定期的に変えることは意味が違うだろ
長くすることは解析を難しくするためだし
定期的に変えるのは万が一漏れてる場合への対処だし
馬鹿な記事だな

80.はちまき名無しさん投稿日：2015年02月06日 11:38▼返信

>>79
方法は違っても、他人にパスワードを知られるという結末は同じ
どちらがその結末になるリスクが高いかという比較
馬鹿なのはお前

81.はちまき名無しさん投稿日：2015年02月06日 11:59▼返信

知ってた

82.はちまき名無しさん投稿日：2015年02月06日 12:20▼返信

よくあるあるぱす
passward
pass
abc123や、abc,1234
asdqwe

あとは
admin

83.はちまき名無しさん投稿日：2015年02月06日 12:36▼返信

銀行のキャッシュカードなんか生体認証以外四桁じゃん
クレカも四桁だし。ダメじゃん

84.はちまき名無しさん投稿日：2015年02月06日 12:39▼返信

自分の誰にも伝えない心の名言をいれておけば長くても忘れない

85.はちまき名無しさん投稿日：2015年02月06日 13:21▼返信

クレカの会社がその辺の意識低いんだよな
JCBとかUFJとかサイトのログインパスワードいまだに8文字だし
メイトやゲマでも16文字くらいまでいけるぞ

86.はちまき名無しさん投稿日：2015年02月06日 13:39▼返信

4桁の数字パスワードに27時間も掛かるわけねーだろ
と思って元記事を見たらやはり誤字だった
コピペぐらいしっかりしろ

87.はちまき名無しさん投稿日：2015年02月06日 13:48▼返信

本当クレカ会社とかのセキュリティの低さはおかしい、OTPすらないし
いい加減最低英数字＋記号32文字デフォにしてくれ

88.はちまき名無しさん投稿日：2015年02月06日 14:51▼返信

>>63
覚えられるわけ無いだろ。使いまわしていいのならともかく。
重要なの使いまわしたら、流出したらアウトだろうが。
乗っ取られたってどうってことないのならともかく、どうってことあるのがいくつあると思ってんだよ。

89.はちまき名無しさん投稿日：2015年02月06日 14:55▼返信

>>85
まぁ、一定回数でロックかかるようにすれば8文字で十分なんだけどな。
普通ログインは8文字で十分なんだけど。アタックしてる間に止められる。
ハッキングした人間の手元にAES暗号化したファイルが有るとかなら最低16桁だな。

90.はちまき名無しさん投稿日：2015年02月06日 15:22▼返信

>>83
いや、3回でロックかかって使えなくなるだろｗ　銀行行って本人確認しないと解除してくれない。
短いのはそういう使い方でないと使い物にならないよ。

91.はちまき名無しさん投稿日：2015年02月06日 17:38▼返信

おすすめはパスワード管理ソフト使ってローカル内のパスワードは10文字ぐらいの簡単なものにして、ネットワークサービス系では32文字以上の物にする。

92.はちまき名無しさん投稿日：2015年02月06日 18:27▼返信

定期的な変更も場合によっては使い回しの原因になって逆に危険

93.はちまき名無しさん投稿日：2015年02月06日 18:49▼返信

銀行のやつも４桁じゃねえ
万が一もあるからな～

94.ネロ投稿日：2015年02月06日 19:07▼返信

だからどうした？

95.はちまき名無しさん投稿日：2015年02月06日 23:35▼返信

当たり前
そんなことも知らんのか？

96.はちまき名無しさん投稿日：2015年02月07日 00:50▼返信

企業のパスワードは1年に1回は変えたほうがいいぞ。
退職者とか内部による犯行が行われる可能性があるからな。

97.はちまき名無しさん投稿日：2015年02月07日 02:06▼返信

食品安全基準、医療、金融、保険、労働、著作権、放送、電気通信、法務、士業、教育、郵政、公共事業なども対象
世論工作他「サルでもわかるTPP」「日本人分断工作」で検索

98.はちまき名無しさん投稿日：2015年02月07日 17:07▼返信

総当りに時間が掛かるものが一番って事だ

99.はちまき名無しさん投稿日：2015年02月08日 09:16▼返信

そりゃそうよ暗号化の進化がbitが徐々にでかいものになっている時点で

「時事ネタ」カテゴリの最新記事

コメント(99件)

直近のコメント数ランキング