パスワードを忘れた? アカウント作成
11994654 story
変なモノ

IPA、パスワード強化を訴える「胸キュン」ポスターをJR原宿駅の大型看板に展示 64

ストーリー by headless
胸悪 部門より
あるAnonymous Coward 曰く、

情報処理推進機構(IPA)は4月3日からJR原宿駅の大型看板を利用した若年層向けのパスワード強化の啓蒙活動を開始したのだが、これが恋愛漫画風のポスターによる「パスワード―もっと強くキミを守りたい―」というアレゲな企画で一部で注目を集めている(IPAの特設サイトITmediaの記事CNETの記事)。

IPAの調査によると、パスワードに対する意識は10代の若者が他の世代と比べて極端に低く、こうした若年層にパスワードの大切さを伝えることが意図されているという。とはいえ、特設サイトで公開されているスライドショーはタイトル以上にアレで、「お前にそんな単純なパスワードは似合わないよ」「ドキッ」「お前っ、自分のパスワードはもっと大切にしろよ!」などと、恋愛漫画風のイケメンや美少女がパスワードの重要性を訴えるという、エイプリルフールにやれという代物が並んでいる。

果たしてこれが啓蒙活動として効果があるのかは謎だが、展示は10月8日まで行われるということなので、駅を訪れる人は探してみるのもいいかもしれない。

4月9日まではホームから見える線路側ボード、10日以降は駅の外から見える道路側ボードに展示される。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 胸キュン違い (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2015年04月05日 14時33分 (#2791171)
    胸キュンと言うなら、遠山光さんに絵を描いてもらわないといけない気がする。
    • by nagomi (35277) on 2015年04月05日 14時36分 (#2791172) 日記
      思いっきり同意したけどモデ権無いのでIDつけときますね
      親コメント
    • by qpwoeiru (47171) on 2015年04月05日 14時49分 (#2791182) 日記

      そこで遠山光とか言えちゃう世代、しかもスラドに出入りしてるような方々は
      そもそもコンピュータリテラシーに明るい人なわけで
      どうせYMOあたりひっぱりだしても満足しやしないわけですよ。
      更にはドラマを見た人なんて何人いることやら。

      本当に必要な、学童になる前からスマホいじってるような層には、これくらいがちょうどいいのでは。むしろIPAがんばった。

      親コメント
      • by Anonymous Coward

        更にはドラマを見た人なんて何人いることやら。

        あぁ、やや周辺にフレアの入った、ダイレクト乳首勃起シーンですか。
        たぶん実家にVHSが残ってると思います、焼かれてなければ。

        # 当時はゴールデンタイムがおっぱい天国でしたねー

    • by renja (12958) on 2015年04月05日 16時42分 (#2791226) 日記

      自分は橋口 隆志さん [amazon.co.jp]で。
      遠山光さんというとアイドル☆スターのイメージですね。

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      親コメント
  • ていうことは、イケメンにパスワード教えちゃっているってことでしょ。パスワードを呪文のように難しくしても、イケメンのソーシャルエンジニアリングには太刀打ちできないってこと(笑)

    --
    モデレータは基本役立たずなの気にしてないよ
  • 逆に危険 (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2015年04月05日 14時58分 (#2791186)

    アルファベットの大文字と小文字、更に数字と記号を含めた8文字以上のパスワードなら安全、という古からの安全神話。
    その安全神話によって思考停止しているので、最小8文字以上としながらも最大パスワード長は20文字以下しか認めないサイトのなんと多いことか・・・。
    20文字以下どころか、12文字以下しか認めない所の方が大半という体たらく。

    パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。
    10代の若者に「パスワードを複雑化しろ」と要請するよりも、パスワードとして認められる最大長が20文字以下のクソサイトを吊るしあげる方が遥かに効果的だろう。
    辞書に載ってるような単語の組み合わせでいいから、最小パスワード長を35文字とし、最大パスワード長を100文字以下にするべき。
    その長さ至った時点で辞書攻撃のリスクなど無視して良し。
    というより、その程度の計算すらできずに、パスワードを複雑化すれば12文字以下でも大丈夫と考える、思考停止した老害を量産するのはそろそろ止めにして貰いたい。

    # 某銀行、テメーのことだよ。
    # なにが大小英数字と記号を2文字以上混ぜてパスワードを作って下さいだ?
    # 利用者にそんな余計な手間暇かけさせるよりも先に、最大パスワード長16文字とかいうしょうもない制限をどうにかしろ。

    • パスワードの文字数制限が厳しいサイトって、いまだに DES ベースのアルゴリズムでハッシュ化しているんじゃないですかね? 「動いているシステムには触るな」を信じ続けて……。大手クレジットカード会社も、MUFGカード(4~8桁) とか NICOSカード (6~8桁) とか、酷い状況です。

      前にもスラドで話題になりましたが [srad.jp]、「ランダムな英数記号8文字」 よりも 「ランダムな英単語4個」 の方が安全で覚えやすいのですから、こういったくだらないキャンペーンをやる前に、IPAにはシステム管理者にパスワードの文字数制限を緩和するよう啓蒙していただきたいです。

      ランダムな英数記号8文字 : p$9hFh%E
      ランダムな英単語4個     : copy-item-tokyo-heavy

      ※後者の方が、安全で覚えやすいパスワード(パスフレーズ)ですが、文字数が21文字なのでスラッシュドットを含む多くのWebサイトで利用できません。

      --

      ところで、hylom さん、/.J のパスワードの文字数制限を緩和してみては如何ですか?

      もし、ハッシュ化して保存しているのであれば、コードの文字数制限の部分を「20」から「255」などに変更するだけで、面倒な手間も無く動作するのでは?

      親コメント
    • by Anonymous Coward on 2015年04月05日 15時25分 (#2791199)

      # 某銀行、テメーのことだよ。
      # なにが大小英数字と記号を2文字以上混ぜてパスワードを作って下さいだ?

      かつてのみずほ銀行は強制的に6文字でぶった切ってくれましたがなにか?

      親コメント
      • by Anonymous Coward on 2015年04月05日 15時36分 (#2791205)

        かつての大○証券はパスワード=暗証番号と同じ数字4桁でした。
        メールでやんわりと良くないと教えたのですが、逆ギレされたので解約した思ひ出。
        つーか今見てみたら、今だにパスワード4桁からじゃんwwww

        親コメント
      • by Anonymous Coward on 2015年04月05日 18時11分 (#2791262)

        SSLの暗号スイートでも輸出強度暗号を有効にしててもろにFREAKに脆弱だったし。ひろみちゅ逆張リストがなんか言ってたけどやっぱりアホなコンサルか何かのたわ言をまに受けただけでしょ。
        # 日本では少ないようだがBEASTのときにRC4以外を無効にして以来知識を更新できていない銀行やら航空会社やらはマジ絶滅しろ

        親コメント
    • by nemui4 (20313) on 2015年04月06日 9時12分 (#2791535) 日記

      >パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。

      パスワードの「重要」というのはよくわからないけど、安全面から考えると。

      ・使い回ししない
      ・適宜変更する
      ・多段階認証

      とかは奨励されないんすかね。

      銀行ATMやdocomoのいろんなパスワードとかが未だに数字4桁で、容易に変更できないかユーザにそのやりかたを周知できていないみたいだ
      ってのがずっと怖いなぁとは思ってる。

      親コメント
    • by Anonymous Coward

      大筋に同意するけど現在のトレンドは多要素認証だろ

    • by Anonymous Coward

      文字数による安全性もそのうち幻想になるとおもうけどね
      もうプルートなんて時代じゃないし

    • Re: (スコア:0, オフトピック)

      by Anonymous Coward

      ハッシュ関数にMD5を使っているならどれだけパスワードを長くしてもランダムな英数字約20文字、SHA1なら約25文字、SHA256なら約40文字より安全には絶対にならない。覚えやすくなるだけ(でも十分だしいずれにしても12文字は少なすぎるが)。パスワードに不可逆なハッシュ化をしていないとか暗号学的な検討のなされていないオレオレハッシュを使うのは別の意味で論外だし。
      辞書に載っている単語だけを組み合わせるならMD5で約11語、SHA1で約13語、SHA256で約21語の組み合わせ程度でいいけど、これは完全にランダムに単語を選んだ場合なのでパスフレーズジェネレーターでも使わない限りもう少し長くとったほうがよさそう。

      •  まず、MD5 や SHA-1 は、そもそも暗号学的ハッシュ関数としての脆弱性が発見されているから、パスワードのハッシュ化に使うべきかどうかとの議論以前に、今では如何なる用途においても優位性がありません。転送中にファイルが破損(改ざんではなく通信中のノイズなどによる偶然の破損)したか調べる為には使えますが、だったら CRC32 などの方がより高速です。

         そして、暗号学的ハッシュ関数として安全とされている SHA-2 (SHA-256 など) であっても、暗号学的高速ハッシュ関数はパスワードのハッシュ化に用いるべきではありません。これらは、高速にハッシュ値を求めるための関数であって、パスワードの保存に用いる為に開発されたものではないからです。詳しいことは、安全なパスワードハッシュ [php.net] が分かりやすいです。

         もし、専門的知識があるなら、適切なソルトを付けたり、暗号学的高速ハッシュ関数を適切な回数通したり、各ユーザのハッシュをユニークにしたりするなど、自分で安全になるようなコードを書くことができるという考えもあるかもしれません。しかし、独自の暗号アルゴリズムを開発して厳重な秘密管理をするよりも公開されている安全とされるアルゴリズムを使うべきであるのと同様に、HMAC [wikipedia.org]、PBKDF2 [wikipedia.org]、Bcrypt [openwall.com] といったパスワードのハッシュ化に適しているスキームとして十分な検証がなされているものを用いるべきだと思います。

         更に良いのは、password_hash [php.net] といったパスワードハッシュ専用の API を用いることです。パスワードのハッシュ化に適しているスキームとして十分な検証がなされているハッシュ関数(現在は bcrypt)が用いられますし、サーバーをベンチマークして適切な強度のストレッチングを行うことが簡単にできます。サーバのスペックが上がったらコード変更無しにストレッチング強度を自動的に高めるとか、負荷が少ない時間帯はストレッチングの強度をあげるといったことも簡単にできます。また、将来的により強力なアルゴリズムが現れれば php のアップデートで自動的にパスワードハッシュアルゴリズムが切り替わる仕様になっているので、古いプログラムコードが使われ続けていたとしても、安全性を維持することができます(データ長が将来的に増えることも想定されており、パスワードハッシュを格納するデータベースのデータ長に余裕を持たせることが推奨されています)。

        親コメント
      • by shibuya (17159) on 2015年04月05日 18時56分 (#2791285) 日記

        オフトピ。

        MD5, SHA1って。。。。
        すでに2007年の時点で ありがとうそしてさようなら [google.com]
        という認識でいたのですが、今でも大事にされているんですか?
        そうわりきるしかないという現状を憂えているということですね、きっと。

        それにしてはSHA-2(SHA-256)への移行がまだゆるゆる進んでいないみたいだし、
        そもそも今の若い人(a.k.a. 労害労害いう人)が引退するころにはそれも破られているだろうし。。。

        親コメント
  • これがパスワード強化の成功例になるのなら、企業のセキュリティ管理部門に展開される未来が!?

    パスワードを強化するほど、好感度があがるパスワードマネージャーとか、
    無味乾燥なパスワード画面に新風が巻き起こる!

    ログイン・ログアウトが楽しくて仕方のない日がやってくる。

    • by Anonymous Coward

      女神転生のアクマを口説けたらログイン成功,とか.

    • by Anonymous Coward

      え?ログインが有料になるんじゃないの?
      2時間4万円とか

      # オプションで土下座コマンドもつけよう

    • by Anonymous Coward

      >企業のセキュリティ管理部門に展開される未来が!?

      シス管はイケメンに限る。

  • by jizou (5538) on 2015年04月05日 14時42分 (#2791177) 日記

    エイプリルフールネタかと思ってたんだけど、違ったのか.... orz
    最近の秋葉原って、女性の比率高いのかなぁ。
    どうせなら、渋谷とか原宿あたりに貼ったほうが効果的なような気がする。

  • by Anonymous Coward on 2015年04月05日 17時31分 (#2791244)

    ケツ毛バーガーさん事件のネットリテラシー啓発漫画を思い出した。

  • by miishika (12648) on 2015年04月05日 18時07分 (#2791259) 日記
    スライド2枚目で「パスワードを見直すまでずっと待っている」と言うけど、Windowsドメインの場合は42日しか待てないから。
  • by Anonymous Coward on 2015年04月05日 14時39分 (#2791173)

    女心クラッカーがナンパしてどうする。

  • by Anonymous Coward on 2015年04月05日 14時40分 (#2791176)
     短くて単純ってのがツボにはまりました。 画像が恒常的に閲覧できる状態になってくれれば、たとえば子供らにパスワードについて「使い回しすんなよ」と言いつつ、今回の画像を表示させて教えられそうに思います。 大人にだって誰にもパスワードを教えないようにとか、自分を守れるのはとか、非常に有意義だと思います。 文字だけよりは絵がついているとわかりやすいと思います。
  • by Anonymous Coward on 2015年04月05日 15時27分 (#2791200)

    なぜタレこみは否定的なんだろう…

  • by Anonymous Coward on 2015年04月05日 15時43分 (#2791207)

    この企画、僕のアイデアですよねっ!!

    • by Anonymous Coward

      前野さんはお帰りください

  • by Anonymous Coward on 2015年04月05日 16時38分 (#2791224)

    ポスター1枚でも面白いですが、全体として見ると女1人に男3人が言い寄るストーリー
    のようになっているので、どの場面が同一の男かを把握すると
    大胆に言い寄った男が幻滅される哀れさがなんとも言えない味わいになりますね。

    しかし、この女子高生、短い男じゃ満足できないのでしょうか(意味深)。

  • by Anonymous Coward on 2015年04月05日 18時09分 (#2791261)

    パスワードがバズワードに見えてきた

  • by Anonymous Coward on 2015年04月05日 18時57分 (#2791287)

    キモデブオタが「こんな簡単なパスワードで防ごうなんて甘いですぞ〜デュフフ ww」って追い詰めるバージョンも欲しいな

    • by northern (38088) on 2015年04月06日 1時01分 (#2791460)

      パスワードを緩くしておくとイケメンが言い寄ってくるんだって~

      親コメント
    • by Anonymous Coward

      キモハゲが「パスワードを書いた紙は捨てるんじゃぞい」とか

    • by Anonymous Coward

      そっちのほうが女性にはリーチしそうな気もします。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...