こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

複雑なパスワードを作ったほうがよい理由について

複雑なパスワードを作ったほうがよい理由について

初歩的な質問です。
コンピュータに詳しくないです。できれば専門家の方にアドバイスいただきたいです。
銀行やポータルサイト、通販サイトなどいろいろなウェブのサービスにログインするパスワードを見直そうと思い、どう作れば強いパスワードになるのだろう?と、以下のようなサイトで、パスワードについて調べていくうちに、いくつか疑問が湧いてきました。

「強い」パスワードの作り方
http://bizmakoto.jp/makoto/articles/1407/07/news042.html
Kaspersky パスワードチェック
https://password.kaspersky.com/jp/

素朴に「パスワードを強くすることによって防ぐことができるのは、どういう場面だろう?」と思いました。
たとえば、ポータルサイトで、ログイン画面を表示して、次々と「総当り」でパスワードを入力しようとすれば、すぐに、通信が拒否されてしまうしくみになっているんだろうと、想像できますし、サイトに違法に侵入して沢山の顧客のパスワードが載っているファイルを盗んだとすると、ユーザーのパスワードは「丸見え」になってしまうから、ユーザーがどんなに強力なパスワードを作っても、あまり意味がないんじゃないのかな?と思いますし、他人には推測されにくいが自分自身では覚えやすい8文字程度の英数字で充分なんじゃないかな?、強力なパスワードが役立つ場面ってどんな状況・場面だろう?と思いました。
でも、上に貼ったURLのサイトでは「なるべく長くて、ランダムな英数字と記号を組み合わせた」パスワードを推奨しているので、自分自身のパスワードに対する理解に間違いがあるのかな?とも思いました。
よろしければ、アドバイスをお願いいたします。
また、「強力なパスワードが必要な理由」について解説しているサイトを見つけられなかったので、もしご存知でしたら紹介してください。

投稿日時 - 2017-02-26 06:25:08

QNo.9298347

困ってます

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(7)

ANo.7

単純に素人に盗まれるよりマシなだけかも知れません。

芸能人が、盗まれたインスタなどのパスワードは
プロフをみれば推測出来てしまうような単純な
パスワードだったからだと思います。

あなたの知人友人でも、推測されてしまうような
パスワードでは、他人からでも簡単に盗られてしまい
思わないトラブルに巻き込まれるからだと思います。

それでもしプロにぬすまれた場合ですが、それは完全に
お手上げなのですが、プロのハッカー的な人は個人情報に
興味がない人が多く〇〇のセキュリティを突破したことに
快感や優越感を感じるだけです。
またそれだけの技術のある人は、それなりの収入がある人だと思います。

けど、素人まがいなハッカーが、1番タチが悪く金儲けや恐喝など、ろくなことを考えないので危険です。

なので、そんな素人にでも盗まれるようなパスワードを作らないことが、望ましいと私は思います。

投稿日時 - 2017-02-26 12:57:56

お礼

ありがとうございました。

投稿日時 - 2017-12-04 03:50:20

ANo.6

(よほどセキュリティ意識が低いところで無ければ)
パスワードはハッシュ化されてデータベースなどに保管されます。

そのため、サイトに侵入してデータベースを盗み出しても
見ることができるのはパスワードのハッシュであり
パスワードその物を見ることはできません。

元のパスワードを知るにはハッシュ化されたパスワードに対する攻撃が必要です。
この前提ではハッシュは盗み出して手元にあるのでオフライン攻撃となり
連続アクセスでブロックするようなことはできません。

ハッシュに対する攻撃で最も単純なのはやはり総当たりです。
パスワードの候補を全てハッシュ化し、盗み出したハッシュと比較することで正解のパスワードを探します。
このような攻撃に対抗するには総当たりが困難な長いパスワードが有効です。

投稿日時 - 2017-02-26 09:37:51

お礼

ありがとうございました。

投稿日時 - 2017-12-04 03:50:14

ANo.5

http://www.huffingtonpost.jp/2014/11/04/password_n_6097990.html
この記事によれば、全くご意見の通りで、単に「やらないよりはまし」というだけみたいですね。

私の知っている限り、いわゆる"強い"パスワードというのは、総当たり攻撃に対して強いだけです。
ご指摘のとおり何回も間違えるとブロックされるサイトも多いそうですから(OKWaveはどうなんだろう?)、マジでハックするなら、別の方法でパスワードを盗む方法を考えるようです。

私が、例えば3回間違えるとブロックされるサイトで、総当たり攻撃でパスワードを探せ、と言われたら、2回試してダメだったら本人がログインするのを待ち、そのあとで2回試して、ダメだったらまた本人がログインするのを待って・・・・・という風にできるかな、と思っています。
仮にパスワードが8文字とわかっていて、パスワードをaaaaaaaaにしてたら、最初の一発目で侵入できちゃいますよね。
そういう意味で、複雑なパスワードのほうがましではあるわけです。

投稿日時 - 2017-02-26 09:17:49

お礼

ありがとうございました。

投稿日時 - 2017-12-04 03:50:07

ANo.4

「暗号解析」を調べるといいかもしれません。

今のコンピューターは10数年前のスーパーコンピューター並みの処理能力があります。
高度な処理能力のコンピューターを沢山動員すれば、文字の組み合わせでしかないパスワードを総当り方式で調べても割りとすぐに見つけることができます。
その為、セキュリティ団体が主催している暗号解析コンテストで総当り方式でどのくらいの時間でかい問を得られるか、というのを実践してます。
https://ja.wikipedia.org/wiki/Distributed.net

この中のDESという暗号方式は電車の運行管理通信で使用されていたと聞いたことがあります。
リンク先にも書かれていますが、DES方式は1日以内で解析されてしまいます。

単純な暗号方式ほど、暗号化と復元の時間が短くて済むので処理能力の低い低消費電力で低価格なハードウェアで実現可能なものではありますが、その分ハッキングもされやすいということになります。
重要に情報や乗っ取られると被害が大きい設備や施設などがハッキングされるとその損害は計り知れません。
運用管理者や設備開発者が想定できないような悪用もされる可能性があります。
多額の費用をかけて開発したものがたかだか十数万円程度のパソコンで無防備にされてしまったのでは、開発費が全て無駄・・・ということにもなりかねません。


これは、個人のセキュリティにも当てはめることができます。
想像力と発想力がなければどんな危険性があるか理解は難しいでしょうが、IDとパスワードだけではたいした被害にはなりません。
むしろ、ID/パスワードを使いまわしている人ほどパスワードは気にした方がいい。

金銭的やり取りが発生しないようなポータルサイトのパスワードが漏洩したも、そのサイトでの被害は皆無で放置していてもいいかもしれませんが、銀行やクレジット系サイトなんかがそのパスワードで入ることができれば・・・
スマホのパスワードが同じだったら?スマホだとリモートロックができます。ロックしたあとパスワードや登録電話番号などを変更されてしまったらそれはもう貴方の所有物だと証明することが困難になってしまいます。

最近では、強力なパスワードよりも多段階認証のほうがトレンドです。
GoogleやFacebookがすでに導入済みですね。
パスワードの他にセキュリティコードという物を発行し、専用アプリやSMSで受け取るというもの。
その他、ハードウェアセキュリティキーを利用するサービスも増えてきました。


パスワードだけでセキュリティを確保する時代はそろそろ主役の座を明け渡すことになると思います。

投稿日時 - 2017-02-26 07:11:53

お礼

ありがとうございました。
質問文がわかりにくかったかもしれません。
知りたいのは「長く複雑なパスワードは「どの場面で役立つのか」ということです。
質問文にある通り、たとえば、攻撃者が総当り攻撃でポータルサイトにパスワードを次々と自動入力したとしても、サイトでその不審な通信を自動的に検知して通信を遮断すると思います。なので、攻撃者がそのサイトの個々の顧客のパスワードを知りたければ、顧客のパスワードが書かれたファイルを入手(コピー)してから、その暗号化されているファイルの「ひとつの暗号」を「総当り」で解析すればよく、強力なパスワードが必要なのは、そのファイルに対してだけであって、顧客の個々のパスワードが強力である必要はないと思うんです。
もちろん、攻撃者はいろいろな方法で相手のパスワードを知ろうとしますが、たとえば、添付メールやメールに書かれた詐欺リンクをクリックして、銀行の偽のログイン画面にパスワードを入力した場合は、複雑で長いパスワードはまったく無力ですし、マルウェア、ウィルスに感染した場合も、複雑で長いパスワードは無力ですよね。
だとしたら、複雑で長いパスワードの利点は、ほとんどないのではないかと疑問が湧いてきたのです。つまり、サイトがログイン画面への総当り攻撃を
受け、通信を遮断するまでの間に、攻撃者はパスワードを解析し終えなければならないため、その攻撃に耐えることができるであろう、8文字程度のランダムな半角英数字であれば充分なんじゃないか?と疑問に思ったので、それ以上に複雑で長いパスワードが推奨される理由が、よくわからないのです。

投稿日時 - 2017-02-26 08:22:56

ANo.3

>・・・サイトに違法に侵入して沢山の顧客のパスワードが載っているファイルを盗んだとすると、・・・
そんな前提条件があるのであれば、ログインユーザー名やパスワードは何も役に立ちません。
>他人には推測されにくいが自分自身では覚えやすい8文字程度の英数字で充分なんじゃないかな?
私はそれでじゅうぶんだと思います。
心配ならば、ログイン時に毎回パスワードを変更してはどうですか。

投稿日時 - 2017-02-26 07:06:40

お礼

ありがとうございました。
質問文がわかりにくかったかもしれません。
知りたいのは「長く複雑なパスワードは「どの場面で役立つのか」ということです。
質問文にある通り、たとえば、攻撃者が総当り攻撃でポータルサイトにパスワードを次々と自動入力したとしても、サイトでその不審な通信を自動的に検知して通信を遮断すると思います。なので、攻撃者がそのサイトの個々の顧客のパスワードを知りたければ、顧客のパスワードが書かれたファイルを入手(コピー)してから、その暗号化されているファイルの「ひとつの暗号」を「総当り」で解析すればよく、強力なパスワードが必要なのは、そのファイルに対してだけであって、顧客の個々のパスワードが強力である必要はないと思うんです。
もちろん、攻撃者はいろいろな方法で相手のパスワードを知ろうとしますが、たとえば、添付メールやメールに書かれた詐欺リンクをクリックして、銀行の偽のログイン画面にパスワードを入力した場合は、複雑で長いパスワードはまったく無力ですし、マルウェア、ウィルスに感染した場合も、複雑で長いパスワードは無力ですよね。
だとしたら、複雑で長いパスワードの利点は、ほとんどないのではないかと疑問が湧いてきたのです。つまり、サイトがログイン画面への総当り攻撃を
受け、通信を遮断するまでの間に、攻撃者はパスワードを解析し終えなければならないため、その攻撃に耐えることができるであろう、8文字程度のランダムな半角英数字であれば充分なんじゃないか?と疑問に思ったので、それ以上に複雑で長いパスワードが推奨される理由が、よくわからないのです。

投稿日時 - 2017-02-26 08:24:26

ANo.2

>サイトに違法に侵入して沢山の顧客のパスワードが載っているファイルを盗んだとすると、ユーザーのパスワードは「丸見え」になってしまうから、

これはそうなりません。素人の作ったサイトで無ければ、パスワードは一方方向暗号化されて保存されていますので、元のパスワードはわかりません。
パスワードを入力すると、同じ一方方向暗号化して、保存されている物と比較します。

投稿日時 - 2017-02-26 07:03:24

お礼

ありがとうございました。
質問文がわかりにくかったかもしれません。
知りたいのは「長く複雑なパスワードは「どの場面で役立つのか」ということです。
質問文にある通り、たとえば、攻撃者が総当り攻撃でポータルサイトにパスワードを次々と自動入力したとしても、サイトでその不審な通信を自動的に検知して通信を遮断すると思います。なので、攻撃者がそのサイトの個々の顧客のパスワードを知りたければ、顧客のパスワードが書かれたファイルを入手(コピー)してから、その暗号化されているファイルの「ひとつの暗号」を「総当り」で解析すればよく、強力なパスワードが必要なのは、そのファイルに対してだけであって、顧客の個々のパスワードが強力である必要はないと思うんです。
もちろん、攻撃者はいろいろな方法で相手のパスワードを知ろうとしますが、たとえば、添付メールやメールに書かれた詐欺リンクをクリックして、銀行の偽のログイン画面にパスワードを入力した場合は、複雑で長いパスワードはまったく無力ですし、マルウェア、ウィルスに感染した場合も、複雑で長いパスワードは無力ですよね。
だとしたら、複雑で長いパスワードの利点は、ほとんどないのではないかと疑問が湧いてきたのです。つまり、サイトがログイン画面への総当り攻撃を
受け、通信を遮断するまでの間に、攻撃者はパスワードを解析し終えなければならないため、その攻撃に耐えることができるであろう、8文字程度のランダムな半角英数字であれば充分なんじゃないか?と疑問に思ったので、それ以上に複雑で長いパスワードが推奨される理由が、よくわからないのです。

投稿日時 - 2017-02-26 08:22:45

ANo.1

複雑さより、長いパスワードが有効です。
1文字多ければ、約40倍の解析時間が必要にまります。

複雑にすると、打ち間違いで自滅します。

投稿日時 - 2017-02-26 06:44:53

お礼

ありがとうございました。
質問文がわかりにくかったかもしれません。
知りたいのは「長く複雑なパスワードは「どの場面で役立つのか」ということです。
質問文にある通り、たとえば、攻撃者が総当り攻撃でポータルサイトにパスワードを次々と自動入力したとしても、サイトでその不審な通信を自動的に検知して通信を遮断すると思います。なので、攻撃者がそのサイトの個々の顧客のパスワードを知りたければ、顧客のパスワードが書かれたファイルを入手(コピー)してから、その暗号化されているファイルの「ひとつの暗号」を「総当り」で解析すればよく、強力なパスワードが必要なのは、そのファイルに対してだけであって、顧客の個々のパスワードが強力である必要はないと思うんです。
もちろん、攻撃者はいろいろな方法で相手のパスワードを知ろうとしますが、たとえば、添付メールやメールに書かれた詐欺リンクをクリックして、銀行の偽のログイン画面にパスワードを入力した場合は、複雑で長いパスワードはまったく無力ですし、マルウェア、ウィルスに感染した場合も、複雑で長いパスワードは無力ですよね。
だとしたら、複雑で長いパスワードの利点は、ほとんどないのではないかと疑問が湧いてきたのです。つまり、サイトがログイン画面への総当り攻撃を
受け、通信を遮断するまでの間に、攻撃者はパスワードを解析し終えなければならないため、その攻撃に耐えることができるであろう、8文字程度のランダムな半角英数字であれば充分なんじゃないか?と疑問に思ったので、それ以上に複雑で長いパスワードが推奨される理由が、よくわからないのです。

投稿日時 - 2017-02-26 08:22:35