日テレNEWS24が紹介する『安全で覚えやすいパスワードを作るワザ』がツッコミどころ満載だと話題に
情報提供はトレンドマイクロ社
パスワードの定期的な変更は不要!?安全で覚えやすいパスワードを作るワザとは?https://t.co/8b6YEKxQYa#パスワード #セキュリティー pic.twitter.com/O0xar90T6a
— NTV NEWS24 (@news24ntv) 2018年4月5日
セキュリティ研究者・高木浩光氏がトレンドマイクロ社にブチギレ
「p@ssw0rd」などのパスワードは辞書攻撃で突破されてしまう
高木氏が推奨するパスワードの作り方
「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」
これはひでえ。誰だよこんなのをテレビ局に教えたのは!https://t.co/TowQp3rf0W
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
イマドキこんなことしてたらマジで破られるだぞ! pic.twitter.com/DRulo3gfpD
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
またお前かっ!倒産して社会に侘びろクソ会社。 pic.twitter.com/GjVyOM3XMB
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
イマドキは最初から「s0c!@1」とかの辞書で攻撃してくるんだよ。トレンドマイクロのエンジニアは普段ブルートフォース攻撃のログとか見てないの? なんの事業やってる会社なの? 恥を知れよ。こういう有害啓発やってる部隊とり潰せよ。https://t.co/Vq19s809Rb pic.twitter.com/OD8FyNXmvS
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
正しい「安全で覚えやすい」パスワードの付け方の例はこちら。https://t.co/0lEaoRSTJJ
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。)
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年3月27日
JPCERT/CCもさあ、まだこんなこと言ってるの? https://t.co/vlijMXBull
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
(まあ、JPCERT/CCが真っ当な対策を説明したことなんて見たことないけど。) pic.twitter.com/XkwEhkCqPl
この記事への反応
・トレンドマイクロはこの程度のセキュリティ意識なのか。なるほどね
・パスワードだけでなくHNでもアルファベットを記号に置き換える手法は、ネットがアンダーグラウンドを称してイキっていた時代のアナクロニズムだよなあ
・テレビ局もいい加減裏を取るということを覚えて欲しいし,視聴者もテレビの情報は検証されていないということを覚えて...
・変態糞土方や課長こわれるとかのコピペの冒頭や語録一文をパスにしとけ、破れた奴はホモ
・うわぁ。これはあかんパスワード。この手の文字列の書き換えは20年前の攻撃プログラムでも既に想定されていた破られやすいパスワードの典型です
・記号を加えるより長さを2文字足す方が複雑さが増すというのに。
それにパターン化させてヒントを与えるとはけしからん
・トレンドマイクロってこんなにアレな企業だったのか…
・「これならOK!」って本気で思い込んでる編集者がやばい。似ている文字に変える手法も、キーボードでずらすのも今じゃ辞書攻撃ですぐ突破されるから。いつの対策の話してんの?
・辞書攻撃という手法で、あっというまに割られるので、やってはいけない。ご注意ください。
・P@$$vv0rdとか本場米国などで散々使われて真っ先に試される単語類扱いだから絶対にマネしてはいけない
・会社のウィルス対策ソフトをトレンドマイクロに入れ替えようと思ってたけどSymantec継続するわ。
絶対使わねえ
・わざわざ脆弱なパスワードに誘導するクソ動画だ…。頭のおかしな発表をする総務省も総務省だが、そのまま垂れ流す NTV も NTV。少しは自分で頭使えよ。
・トレンドマイクロいつの時代に生きてるの
【辞書攻撃 - Wikipedia】
辞書攻撃(じしょこうげき、英: Dictionary attack)は、主にコンピュータセキュリティ上で用いられる用語で、クラッカーが特定のコンピュータに施されたパスワードを調べたり、スパム送信者が送信先のメールアドレスを決める際に用いる手法である。
ブルートフォースアタック(総当たり攻撃A~Z・0~9まで総当たりでパスワードを打ち込みパスワードを破る)の場合は、膨大な試行回数がかかり、時間ロスが大きい。そこで、人間が発想するパスワードはワンパターンな事が多いために、良く使われるパスワードを「辞書」的に登録し攻撃に利用するのが辞書攻撃である。
定番の脆弱パスワードじゃねーか!
3月のライオン 川本あかり 1/7スケール ABS&PVC製 塗装済み完成品フィギュアposted with amazlet at 18.04.06グッドスマイルカンパニー(GOOD SMILE COMPANY) (2019-02-28)
売り上げランキング: 32
登録に住所必須とか前代未聞
ウイルスそのもの
テレビも糞
まぁみんな知ってるかこっちは
セキュリティそのものに対する意識は知らんけど。
まぁでも、Symantecでいいよ。
クラウド使うやつなら、どのメーカーも基本優秀だった
実際は意味のないものを安く売ってる実に日本らしい企業
パス抜かれる→被害に遭う→セキュリティーが必要→「良いソフトありますよ?」の流れなんだから販促的には正しい(白目)
ランダムに三つ選んだのがどれなのか覚えられないやつは覚えられない
完全にランダムって自分が普段使わない単語も含まれるわけでな
にも強いんじゃないの?
単語は選びはセンスいるだろうけどさ
覚えやすい単語繋げただけってのもどうかと思うけど
そもそも使えない記号があったりもするから単に面倒なだけだけど
放送後一気に破られ報告が飛び交う地獄絵図
覚えられなきゃ結局どっかにメモ残しておかなきゃいけないから意味ないしな
ランダムな3つの単語とかじゃなくて、自分の好きな3つの食べ物の名前から取るとかにした方が忘れづらい
あんなもん使うくらいなら何も入れてなくても変わらん。
先生も重いしうんこやで
知らない奴はそもそも使わない
定番でもなんでもねえだろ
どこがどう定番の脆弱PASSなんだよ
自分で造語を作ると破られにくい・・・破られるまで時間がかかる、が正しいか
なお114514と8101919を組み合わせたハイセキュリティな模様
辞書攻撃ってそう言う意味じゃないよw
一度突破したパスワードを登録しておく事。PCでよく使う漢字変換を辞書登録するって言うでしょ
辞書から引っ張ってきたランダムの単語を複数繋げるって話だぞ
これを辞書攻撃で突破するには途方も無い時間がかかる
相変わらず、通勤の邪魔でしかなかったな
このおっさんが何故か否定してる完全なランダム文字列と比較したらアタック回数圧倒的に少ないやろ…
どうせならジャンルも変えれば破りようがなくなる
辞書攻撃はa-z 0-9を総当たりでチェックする行為に対して、辞書に乗ってる単語をブロックとしてチェックかけるやり方やぞw
文字数による
そんくらい計算も出来ねぇのかよ
破られにくいという点だけで見れば正解なんだけど、運用ベースで考えるとあまりよくはないな。
あまりに覚えにくいパスワードだと、メモっちゃう人出てくるし
高木さんも、理論のほうが先走ってちょくちょくやらかすことあるし
辞書からランダムとかスペックと物量の前においては甘えで全く不可能ではないし不安が残る、3言語ミックスしたランダムな75文字以上でないと危ない
みたいな事いくらでも言えるしな
以前、某銀行の個人情報流出で被害あったことあるから、パスワードでも定期的に変えてるけど、
大抵2文字を他の文字に変えるってだけだよ。2文字程度なら覚えられる。
結局のところ比較するのはハッシュ値だからね。仕組み知ってれば、覚える苦労なんてない。
ちなみにその某銀行は、証券の方の流出だからと普通預金口座の俺とかは保証対象外にしやがったが。
複数の生体認証にしろよwwwwwはい論破wwwwwww
単語並べたり文章にするという最新のやり方を踏襲している
5万*5万*5万通りやれば突破できる
1時間かからないと思うのだけども
SMSやアプリ使った二重認証は面倒な上、電話番号ゲットするための方便じゃないかとも思える
5万*5万*5万*5万*5万*5万*5万にしたらええやん
winnyのころは最適化されてたからよかったけど今はカスペルスキーちゃん
ドヤ顔で語りたかっただけやろ
↑一時期マイブームだったパスワード
その辞書が一般的な国語辞典とかの辞書じゃなくて、ハッカーが独自に作った辞書だって言ってんだろ
それを組み合わせるだけで十分な強度のパスワードはできる。
もちろん使いまわしも応用もたやすい。
どの文字をどの程度入れ替えるかでそれなりにバリエーションも増えるから
少なっくともマイナスにはならない情報でしょ
そんな叩かれるようなことか?
海外からのアカハックはたいていこれで防げそうなもんだが
>一度突破したパスワードを登録しておく事。PCでよく使う漢字変換を辞書登録するって言うでしょ
一度突破したパスワードを集めた辞書使ってアタックかけるの?
パターン少なすぎて役に立たなそうだねw
トレンドマイクロは日本企業じゃないぞ
理想は完全にランダムな文字列だけど、頭で覚えるなら3単語が適切な妥協点って事だよ
パスワードマネージャーに覚えさせるならランダムの方が良いに決まってる
ひろみちゅが批判してるのは覚えやすい1単語の文字を似た形の文字に置き換える手法
これは字数が足りなくて簡単に突破される
例えばhachimaをh@ch1m@にしろってことでしょ。
英語だけでなく、記号も数字も入って文字だけより安全な気がするんだけど。
h@ch1m@が辞書に入っているとは思えない。
自分に同調した信者の意見をRTしまくり専門家ぶる痛いイキリおじさんひろみちゅw
同僚に覗かれない程度のパスならこれで十分
辞書攻撃くらう状態なら時間の問題なんだから
そっちのガバガバセキュリティを問題にしろ
一文字多いだけでも解析する相手には負担がかかる。
今のところPCが壊れるような事態になったことないから優秀だと思うわ
TMTOWTDIじゃないよな?さすがに
「一番」なら完全なランダムだけどな
8文字に縛られないことが大事
10文字以上でも全然かまわん
それだけでパスワード突破がほぼなくなる
これが完璧
Apple+SoftbankのAppBankも情弱に人気だよなwww
なにそれ、トレンドマイクロの社長のことかな?
ここのウィルスバスター使ってるときにウィルスに引っかかってからはもう二度と使ってないわ
ただ単語自体が辞書に存在しない個人で利用の単語のパス化ならわからんだろう。
長いことが最低限
あとどうせネットならwifiやサーバーや送信相手からパスが抜かれるから意味がないって言われてるね
パスハッキングするやり方に総当りで調べる方法があるから純粋に桁数を増やしまくったほうが
安全じゃないの?
あと誰かが行ってたけど漢字でパスができればそれが一番安全
アルファベットとか数が少ないけど漢字なら数が倍以上あるからかなり安全になる
例外はグーグルとか銀行のアカウントだけ特別なパスフレーズ使って独立させてる
オンライン攻撃で回数増やしたら拒絶されるから三語で十分すぎるのでは?
オフラインなら5語に増やせとも書いてあるぞ
ログインしようとしたらできなくてアレ?ってなるな
つーかクレカ会社とかでいまだにパス文字上限が8文字の会社は滅びろ
こいつまだ居たのか