IPA、パスワード強化を訴える「胸キュン」ポスターをJR原宿駅の大型看板に展示 64
ストーリー by headless
胸悪 部門より
胸悪 部門より
あるAnonymous Coward 曰く、
情報処理推進機構(IPA)は4月3日からJR原宿駅の大型看板を利用した若年層向けのパスワード強化の啓蒙活動を開始したのだが、これが恋愛漫画風のポスターによる「パスワード―もっと強くキミを守りたい―」というアレゲな企画で一部で注目を集めている(IPAの特設サイト、ITmediaの記事、CNETの記事)。
IPAの調査によると、パスワードに対する意識は10代の若者が他の世代と比べて極端に低く、こうした若年層にパスワードの大切さを伝えることが意図されているという。とはいえ、特設サイトで公開されているスライドショーはタイトル以上にアレで、「お前にそんな単純なパスワードは似合わないよ」「ドキッ」「お前っ、自分のパスワードはもっと大切にしろよ!」などと、恋愛漫画風のイケメンや美少女がパスワードの重要性を訴えるという、エイプリルフールにやれという代物が並んでいる。
果たしてこれが啓蒙活動として効果があるのかは謎だが、展示は10月8日まで行われるということなので、駅を訪れる人は探してみるのもいいかもしれない。
4月9日まではホームから見える線路側ボード、10日以降は駅の外から見える道路側ボードに展示される。
胸キュン違い (スコア:5, すばらしい洞察)
Re:胸キュン違い (スコア:2)
胸キュン刑事(でか) (スコア:0)
たまたまモデ権あるけど、恥ずかしいのでアノニ
Re:胸キュン違い (スコア:2)
そこで遠山光とか言えちゃう世代、しかもスラドに出入りしてるような方々は
そもそもコンピュータリテラシーに明るい人なわけで
どうせYMOあたりひっぱりだしても満足しやしないわけですよ。
更にはドラマを見た人なんて何人いることやら。
本当に必要な、学童になる前からスマホいじってるような層には、これくらいがちょうどいいのでは。むしろIPAがんばった。
Re: (スコア:0)
更にはドラマを見た人なんて何人いることやら。
あぁ、やや周辺にフレアの入った、ダイレクト乳首勃起シーンですか。
たぶん実家にVHSが残ってると思います、焼かれてなければ。
# 当時はゴールデンタイムがおっぱい天国でしたねー
Re:胸キュン違い (スコア:1)
自分は橋口 隆志さん [amazon.co.jp]で。
遠山光さんというとアイドル☆スターのイメージですね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
「お前にそんな単純なパスワードは似合わないよ」 (スコア:4, おもしろおかしい)
ていうことは、イケメンにパスワード教えちゃっているってことでしょ。パスワードを呪文のように難しくしても、イケメンのソーシャルエンジニアリングには太刀打ちできないってこと(笑)
モデレータは基本役立たずなの気にしてないよ
Re:「お前にそんな単純なパスワードは似合わないよ」 (スコア:1)
キミのすべてが知りたいな ※
とかだな
Re:「お前にそんな単純なパスワードは似合わないよ」 (スコア:1)
% talk
% touch
% mount
% sync;sync;sync
Segmentation fault(core dumped)
% umount
% su
$ dispell
Re: (スコア:0)
(いくつかのコマでは)彼らは擬人化されたパスワードなのでパスワード同士パスワードの特徴は分かるのでしょう。
擬人化されているのは男だけ (スコア:1)
「お前にはお姫様抱っこができる強いパスワード(俺)が似合うんだ、選んでくれるまで待つよ」と言っているのだから。
# 自分で考えないバカな女は嫌いなのでID
モデレータは基本役立たずなの気にしてないよ
逆に危険 (スコア:4, すばらしい洞察)
アルファベットの大文字と小文字、更に数字と記号を含めた8文字以上のパスワードなら安全、という古からの安全神話。
その安全神話によって思考停止しているので、最小8文字以上としながらも最大パスワード長は20文字以下しか認めないサイトのなんと多いことか・・・。
20文字以下どころか、12文字以下しか認めない所の方が大半という体たらく。
パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。
10代の若者に「パスワードを複雑化しろ」と要請するよりも、パスワードとして認められる最大長が20文字以下のクソサイトを吊るしあげる方が遥かに効果的だろう。
辞書に載ってるような単語の組み合わせでいいから、最小パスワード長を35文字とし、最大パスワード長を100文字以下にするべき。
その長さ至った時点で辞書攻撃のリスクなど無視して良し。
というより、その程度の計算すらできずに、パスワードを複雑化すれば12文字以下でも大丈夫と考える、思考停止した老害を量産するのはそろそろ止めにして貰いたい。
# 某銀行、テメーのことだよ。
# なにが大小英数字と記号を2文字以上混ぜてパスワードを作って下さいだ?
# 利用者にそんな余計な手間暇かけさせるよりも先に、最大パスワード長16文字とかいうしょうもない制限をどうにかしろ。
IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:5, 参考になる)
パスワードの文字数制限が厳しいサイトって、いまだに DES ベースのアルゴリズムでハッシュ化しているんじゃないですかね? 「動いているシステムには触るな」を信じ続けて……。大手クレジットカード会社も、MUFGカード(4~8桁) とか NICOSカード (6~8桁) とか、酷い状況です。
前にもスラドで話題になりましたが [srad.jp]、「ランダムな英数記号8文字」 よりも 「ランダムな英単語4個」 の方が安全で覚えやすいのですから、こういったくだらないキャンペーンをやる前に、IPAにはシステム管理者にパスワードの文字数制限を緩和するよう啓蒙していただきたいです。
--
ところで、hylom さん、/.J のパスワードの文字数制限を緩和してみては如何ですか?
もし、ハッシュ化して保存しているのであれば、コードの文字数制限の部分を「20」から「255」などに変更するだけで、面倒な手間も無く動作するのでは?
Re:IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:1)
Re:IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:1)
クライアント証明書に…いやなんでもない
Re:IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:1)
…とかですかね。
気分的には「httpな掲示板で再編集用のパスワードを設定」しているような感じです。
全然セキュアでないけどまあ使うかみたいな。
どのみちSSL対応してもらった方が
とかメリットのが確実に多いので気長にSSL対応を待っているのです。
Re:逆に危険 (スコア:1)
かつてのみずほ銀行は強制的に6文字でぶった切ってくれましたがなにか?
Re:逆に危険 (スコア:1)
かつての大○証券はパスワード=暗証番号と同じ数字4桁でした。
メールでやんわりと良くないと教えたのですが、逆ギレされたので解約した思ひ出。
つーか今見てみたら、今だにパスワード4桁からじゃんwwww
Re:逆に危険 (スコア:1)
倉吉の大山証券なら、もう20年近く前に合併で名前が変わってますよ。
Re:逆に危険 (スコア:1)
SSLの暗号スイートでも輸出強度暗号を有効にしててもろにFREAKに脆弱だったし。ひろみちゅ逆張リストがなんか言ってたけどやっぱりアホなコンサルか何かのたわ言をまに受けただけでしょ。
# 日本では少ないようだがBEASTのときにRC4以外を無効にして以来知識を更新できていない銀行やら航空会社やらはマジ絶滅しろ
Re:逆に危険 (スコア:1)
>パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。
パスワードの「重要」というのはよくわからないけど、安全面から考えると。
・使い回ししない
・適宜変更する
・多段階認証
とかは奨励されないんすかね。
銀行ATMやdocomoのいろんなパスワードとかが未だに数字4桁で、容易に変更できないかユーザにそのやりかたを周知できていないみたいだ
ってのがずっと怖いなぁとは思ってる。
Re: (スコア:0)
大筋に同意するけど現在のトレンドは多要素認証だろ
Re: (スコア:0)
文字数による安全性もそのうち幻想になるとおもうけどね
もうプルートなんて時代じゃないし
Re: (スコア:0, オフトピック)
ハッシュ関数にMD5を使っているならどれだけパスワードを長くしてもランダムな英数字約20文字、SHA1なら約25文字、SHA256なら約40文字より安全には絶対にならない。覚えやすくなるだけ(でも十分だしいずれにしても12文字は少なすぎるが)。パスワードに不可逆なハッシュ化をしていないとか暗号学的な検討のなされていないオレオレハッシュを使うのは別の意味で論外だし。
辞書に載っている単語だけを組み合わせるならMD5で約11語、SHA1で約13語、SHA256で約21語の組み合わせ程度でいいけど、これは完全にランダムに単語を選んだ場合なのでパスフレーズジェネレーターでも使わない限りもう少し長くとったほうがよさそう。
パスワードハッシュ専用の API を用いるべき (スコア:5, 興味深い)
まず、MD5 や SHA-1 は、そもそも暗号学的ハッシュ関数としての脆弱性が発見されているから、パスワードのハッシュ化に使うべきかどうかとの議論以前に、今では如何なる用途においても優位性がありません。転送中にファイルが破損(改ざんではなく通信中のノイズなどによる偶然の破損)したか調べる為には使えますが、だったら CRC32 などの方がより高速です。
そして、暗号学的ハッシュ関数として安全とされている SHA-2 (SHA-256 など) であっても、暗号学的高速ハッシュ関数はパスワードのハッシュ化に用いるべきではありません。これらは、高速にハッシュ値を求めるための関数であって、パスワードの保存に用いる為に開発されたものではないからです。詳しいことは、安全なパスワードハッシュ [php.net] が分かりやすいです。
もし、専門的知識があるなら、適切なソルトを付けたり、暗号学的高速ハッシュ関数を適切な回数通したり、各ユーザのハッシュをユニークにしたりするなど、自分で安全になるようなコードを書くことができるという考えもあるかもしれません。しかし、独自の暗号アルゴリズムを開発して厳重な秘密管理をするよりも公開されている安全とされるアルゴリズムを使うべきであるのと同様に、HMAC [wikipedia.org]、PBKDF2 [wikipedia.org]、Bcrypt [openwall.com] といったパスワードのハッシュ化に適しているスキームとして十分な検証がなされているものを用いるべきだと思います。
更に良いのは、password_hash [php.net] といったパスワードハッシュ専用の API を用いることです。パスワードのハッシュ化に適しているスキームとして十分な検証がなされているハッシュ関数(現在は bcrypt)が用いられますし、サーバーをベンチマークして適切な強度のストレッチングを行うことが簡単にできます。サーバのスペックが上がったらコード変更無しにストレッチング強度を自動的に高めるとか、負荷が少ない時間帯はストレッチングの強度をあげるといったことも簡単にできます。また、将来的により強力なアルゴリズムが現れれば php のアップデートで自動的にパスワードハッシュアルゴリズムが切り替わる仕様になっているので、古いプログラムコードが使われ続けていたとしても、安全性を維持することができます(データ長が将来的に増えることも想定されており、パスワードハッシュを格納するデータベースのデータ長に余裕を持たせることが推奨されています)。
トータルでは攻撃側の支払うコストの方が大きい (スコア:5, 興味深い)
確かに、1回のストレッチングにかかるコストという意味では、防御側より攻撃側の方が大幅に低いです。しかしながら、防御側はパスワードの認証・登録・変更が行われた時のみストレッチング処理を所定の回数行えば良いのに対して、攻撃側は総当たり攻撃のパターン数の分行わなければならないため、トータルでは攻撃側が支払うコストが上回っていると言えます。
具体的な例を挙げると、パスワードの認証(ログイン)・新規登録(アカウント追加)・パスワード変更の回数が1日1万回のシステムで、ストレッチングの回数が10万回の場合、防御側が行うストレッチング処理は10億回/日 です。それに対して、8桁のランダムな英数字のパスワードを破ろうとした場合、攻撃側は全通り試すならば 218,340,105,584,896 通り試す必要があるので、ストレッチング処理を 100,000 × 218,340,105,584,896 =21,834,010,558,489,600,000 (回) する必要があります。つまり、この場合(8桁のランダムな英数字のパスワードを全通り試す場合)、攻撃側は防御側の 21,834,010,558倍 (約200億倍) の処理コストがかかると言えます。
ちなみに、以前試算しましたが [srad.jp]、日本の理化学研究所のスパコン「京」のCPUで、まともなアルゴリズムでハッシュ化(HMACハッシュ関数によるストレッチングを含む)されているパスワードの解析を行う場合、1秒間に1万回しか試行できないという結果になりました。この場合、GPU演算は考慮していませんでしたが、攻撃側がNSAなどの巨大組織でない限り、GPGPUやFPGAを使ったとしてもスパコン「京」のCPU演算を超えるだけの能力をはじき出すのはなかなか難しいのではないでしょうか。
1秒間に1万回の試行であれば、ランダムな英数字8桁のパスワードの場合、平均で400年ぐらいの解読時間がかかることになります。従って、ユーザーが8桁のランダムな英数字、もしくはそれを超える安全性のパスワード(ランダムな英単語4個 : copy-item-tokyo-heavy など)を使ってくれるという前提においては、ストレッチングは「急場凌ぎの対処法」ではなく「解決法」と言えると思います。
Re:逆に危険 (スコア:1)
オフトピ。
MD5, SHA1って。。。。
すでに2007年の時点で ありがとうそしてさようなら [google.com]
という認識でいたのですが、今でも大事にされているんですか?
そうわりきるしかないという現状を憂えているということですね、きっと。
それにしてはSHA-2(SHA-256)への移行がまだゆるゆる進んでいないみたいだし、
そもそも今の若い人(a.k.a. 労害労害いう人)が引退するころにはそれも破られているだろうし。。。
これがパスワード強化の成功例になるのなら (スコア:2)
これがパスワード強化の成功例になるのなら、企業のセキュリティ管理部門に展開される未来が!?
パスワードを強化するほど、好感度があがるパスワードマネージャーとか、
無味乾燥なパスワード画面に新風が巻き起こる!
ログイン・ログアウトが楽しくて仕方のない日がやってくる。
Re: (スコア:0)
女神転生のアクマを口説けたらログイン成功,とか.
Re: (スコア:0)
え?ログインが有料になるんじゃないの?
2時間4万円とか
# オプションで土下座コマンドもつけよう
Re: (スコア:0)
>企業のセキュリティ管理部門に展開される未来が!?
シス管はイケメンに限る。
てっきり (スコア:1)
エイプリルフールネタかと思ってたんだけど、違ったのか.... orz
最近の秋葉原って、女性の比率高いのかなぁ。
どうせなら、渋谷とか原宿あたりに貼ったほうが効果的なような気がする。
Re:てっきり (スコア:2, 参考になる)
貼ってあるの原宿駅ですよ。
Re:てっきり (スコア:1)
あ、原宿なんですね。失礼しました。
なんで秋葉原と読み間違えたんだろう.... orz
漫画 (スコア:1)
ケツ毛バーガーさん事件のネットリテラシー啓発漫画を思い出した。
ずっとは待てない (スコア:1)
「単純なパスワードが似合わない」って (スコア:0)
女心クラッカーがナンパしてどうする。
なかなか面白い (スコア:0)
非常に良いアプローチだと思うが (スコア:0)
なぜタレこみは否定的なんだろう…
Re:非常に良いアプローチだと思うが (スコア:1)
IPAといったら天才を求むと称して微妙な何かなりに出資して
裁判沙汰になって挙句にというような負のイメージがあるからでは?
Re: (スコア:0)
美女キャラが男の子相手に啓蒙する構図だったらもうちょっと肯定的だったんでは
あれっ (スコア:0)
この企画、僕のアイデアですよねっ!!
Re: (スコア:0)
前野さんはお帰りください
女1人に男3人が言い寄るストーリー (スコア:0)
ポスター1枚でも面白いですが、全体として見ると女1人に男3人が言い寄るストーリー
のようになっているので、どの場面が同一の男かを把握すると
大胆に言い寄った男が幻滅される哀れさがなんとも言えない味わいになりますね。
しかし、この女子高生、短い男じゃ満足できないのでしょうか(意味深)。
Re:女1人に男3人が言い寄るストーリー (スコア:3, 興味深い)
パスワードがバズワードに見えてきた (スコア:0)
パスワードがバズワードに見えてきた
逆に (スコア:0)
キモデブオタが「こんな簡単なパスワードで防ごうなんて甘いですぞ〜デュフフ ww」って追い詰めるバージョンも欲しいな
Re:逆に (スコア:1)
パスワードを緩くしておくとイケメンが言い寄ってくるんだって~
Re: (スコア:0)
キモハゲが「パスワードを書いた紙は捨てるんじゃぞい」とか
Re: (スコア:0)
そっちのほうが女性にはリーチしそうな気もします。