web-dev-qa-db-ja.com

覚えやすい強力なパスワードを作成するにはどうすればよいですか? 4 Wordメソッドは安全ですか?

4つのランダムな辞書の単語を使う方法を聞いたことがあります。それはあなたに多くの文字を与え、覚えやすいです。

しかし、特に攻撃者がこの方法を知っていて、4つの辞書の単語の組み合わせをブルートフォース攻撃した場合、それは辞書攻撃にさらされているようです。

4つの辞書単語の組み合わせが多すぎて、それでも安全ですか?

Veracryptが辞書の単語、またはそのような単語の2、3、4の組み合わせを使用しないことを明確に述べていることに気づきました。

それで、それが安全でない場合でも、パスワードを覚えさせる安全な方法はありますか? 8つの辞書単語の組み合わせは機能しますか?

passwordspassword-managementpassword-crackingveracrypt
40
Lichtbringer

パスワードの主な問題は、パスワードの複雑さではなく、パスワードの再利用( 必須のxkcd )です。 1つのサービスがログインとパスワードを漏らし、突然多くのプロバイダーがアカウント乗っ取りの急増を目にします。どうして?私たち人間は何十もの異なるパスワードを覚えることができないため、一般的なサービス用に1つのパスワードを作成し、特別なパスワード用に1つ作成します。しかし、ほとんどの人は1つのパスワードしか持っていません。

独自のパスワードを作成しないでください。パスワードマネージャーを使用してください。各サービスに1つ、非常に複雑なパスワードを作成でき、主要なブラウザー用のプラグインと拡張機能を備え、強力な暗号化、クラウドバックアップ、マルチデバイス同期などを備えています。サービスごとに異なるランダムなパスワードを作成することをあなたの頭脳を信用しないでください。

パスワードマネージャーを使用すると、マスターパスワードという1つのパスワードを知るだけで済みます。このパスワードは書き留めて、財布に保管することができます。他のすべてはマネージャーによって作成され、128文字、10桁、ĥaŕd-tö-tỹpẽを含む30の特殊文字を含めることができます...

68
ThoriumBR

トリウムの答えを間違いなく真剣に受け止めてください。しかし、私もあなたの実際の質問に対処しようとするかもしれないと考えました。

このようなセキュリティボードでは常にこれが聞こえますが、とにかく言っておきます。答えは常に、予想される脅威ベクトルによって異なります。私は特にあなたをターゲットにしていない人々によるブルートフォース攻撃に焦点を合わせます(それがあなたの主な関心事のように聞こえるためです)が、誰かが特にあなたをターゲットにしている場合、状況は大きく異なります。でも、それは単純にしておこう。

対象外のオフライン総当たり攻撃

エントロピーの高いパスワードの大きな理由は、オフラインのブルートフォース攻撃を阻止するためです。ハッキングされたサービスがプレーンテキストのパスワードを使用している場合、オフラインのブルートフォース攻撃は明らかに簡単です(これは、サイト間でパスワードを再利用してはならない非常に重要な理由です)。しかし、パスワードにMD5を使用するサービスからのパスワードがダンプになってしまうとどうなるでしょうか。 MD5に対して毎秒数千億のパスワードをテストできるリグがあります。このような攻撃に対する最善の防御策は、単にパスワードの長さであり、パスワードがパスワードリストに含まれていないこと、または人々が使用する一般的なパスワードスキームの単純なバリエーションになっていないことを確認することです。

MD5パスワードリストに対するブルートフォースがオフラインであっても、攻撃者はパスワードスペースを徹底的に検索することはできません。彼らは、以前に解読されたパスワードのリストをダウンロードして、それらすべてを試すことから始めます。次に、最も一般的に使用されるパスワード生成スキームのリストを取得して、それらを試します。 「辞書単語の組み合わせ」生成句は、彼らがそれを試すことさえできるほど一般的です。もしそうなら、問題はあなたがどれだけ長く耐えられるかということです。リストにある単語の数と単語の数によって異なります。ダイスウェアのリストには7776個の単語があるので、それを使用してみましょう。つまり、4ワードのパスフレーズには、約3.66e15の異なるパスワードの組み合わせを含めることができます。 1秒あたり2,000億個のパスワード(最上位のハッシュリグ)の速度では、そのパスワードスペースを検索するのに5時間かかります。パスワードの単語数に応じた検索時間は次のとおりです。

  • 4ワード:5時間
  • 5ワード:4.5年
  • 6ワード:35,000年
  • 7ワード:2億7000万年
  • 8ワード:2兆年

もちろんMD5はひどいです。最新のハッシュ方式を使用するシステムからパスワードが漏えいした場合、4ワードのパスワードでも事実上解読できなくなります。ただし、最悪の事態を想定し、重要なサービスについては、相手側のユーザーが可能な限り最悪のセキュリティを使用していると想定して、それに応じて選択することをお勧めします(つまり、プレーンテキストのパスワードまたはMD5を想定します)。まだパスワードにMD5を使用しているシステムはたくさんあります。

未知数

ただし、未知数が多いため、これを答えることは困難です。攻撃者がダイスウェアのようなパスワードをブルートフォースにしようとし、使用したのとまったく同じパスワードリストを使用していると想定しています。これらは多くの仮定であり、ハッカーはあなたのWordリストを気にしないか、持っていないかもしれません。そうではなく、代わりに徹底的な検索を試してみたらどうなるでしょうか? 5文字の平均ワード長を想定すると、4ワードのダイスウェアパスワードは20文字です。彼らは徹底的な検索を行っているので、小文字しか使用していない場合でも、すべての文字と数字をチェックする必要があります(Niceになり、特殊文字は無視されます)。現在、7e35のパスワードの組み合わせ(20文字までのすべてのパスワードを検索したい場合)、または必要なパスワードスペースを徹底的に検索する前に一流のハッシュリグを使用して1e17年の計算を行う方法があります。つまり、パスワードが解読される可能性はまったくありません。言うまでもなく、誰もそれをしようとすることさえありません。それが本当に重要なことです。できるだけ多くのパスワードを解読しようとしているほとんどの人は、最初に明白な答えを試そうとしています。一定のレベルの複雑さを過ぎると、あなたはもはやぶら下がっている果物ではないという単純な事実にいくらかの安全があります。もちろん、誰かが特にあなたをターゲットにしている場合、すべての賭けは無効になります( 別の義務的なxkcd )。

それでも、おそらく6語以上を選択します。また、どこにも再利用しないでください。

ディスク暗号化/パスワードマネージャについて

コメントで、主にパスワードマネージャーのマスターパスワードまたはディスク暗号化のパスワードを選択することに関心があるかもしれないと述べました。これは少し異なるユースケースです。最新のパスワードハッシュアルゴリズムは、低速になるように設計されているため、ブルートフォースが困難です。ただし、暗号化アルゴリズムの動作は少し異なり、「低速化」はパスワードハッシュの場合ほど暗号化にとって重要ではありません(ある程度の低速化は悪いことです)。暗号化キーをブルートフォースにするのがどれほど「難しい」かは、暗号化方法の正確な詳細によって大きく異なります(そのため、実際にどのように見えるかを実際に推測することはできません)が、MD5などと比較すると、悪い基準点。

重要な違い(h/t MichaelKjörling)は、ローカルディスク暗号化またはパスワードマネージャーを使用すると、キー生成プロセスのコスト要因を制御できる場合があることです。この場合、「硬さ」を上げ、パスワードの長さを短くし、セキュリティ、メモリの使いやすさ、「これが開くまで待機する必要がある時間」(使いやすさ)の間の許容できる妥協点を見つけることができます。

28
Conor Mancone

ほとんどの作業でパスワードマネージャーを使用していても、辞書の単語から派生した一貫した形式を持つことに価値があります。たとえば、4000ワードの辞書から6ワードのパスワードを生成し、次のようなパスワードを与えることができます。

that-feats-peers-film-wash-propaganda
chrome-document-thirty-ignore-given-screen
studying-mark-approved-rods-heavy-mocking
ahhh-shock-input-movies-considering-trader
equipment-download-created-compile-cookie-oops
effective-saved-systems-garage-wrote-wondering

利点は何ですか?これらのパスワードの1つを別のコンピューターに転記していると想像してみてください。パスワードマネージャーでそれを確認し、完全に別のコンピューターに入力します。または電話。またはそのようなもの。たとえば、リストの3番目のパスワードを見てください。次に、目をそらして、覚えているだけの文字を入力して、戻ってきます。おそらく2回の試行で、おそらく1回でも、完全な正確さでパスワード全体を転記できます。 Wordのパスワードを10個まで作成した場合でも、約3つのステップで1つを転記できるはずです。 「heaps-comment-handle-emerald-capped-gain-write-details-grey-moment "と入力すると、簡単です。

あなたはこれはあなたにとって重要ではないと思うかもしれませんが、それはあなたに何も費用をかける必要はありません(ここで私が与えたパスワードはそれぞれ71ビットと120ビットのエントロピーを持っています)。 。

8
rosuav

この質問 は、さまざまな可能性の幅広いトピックについて読むための出発点を提供します。

一部の回答は数年前のものであることを覚えておいてください。とにかく、良いパスワードへのヒントはたくさんあります。また この記事 は計算時間についてもう少し教えてくれます(ただし、そこにあるすべてのWordに実際に依存することなくポイントを取得する必要があります;))

問題はかなりたくさんありますが、ThormiumBRが述べたように、最も一般的な問題の1つは再利用または部分的な再利用です。人々が使用する場合パスワード a9wdu$$$db§c5829ae1どこかで、いつかそれを覚えておいて、たぶんa9wdu$$$db§c5829ae2または他の任意の派生物。より良い方法の1つは、基本的にランダムに(はい、つまりサイコロを意味します)4〜6個のランダムな単語を辞書から抽出することです( here など)。これにより、覚えやすい長いパスワードが得られる可能性が高くなるため、再利用または部分的な再利用の可能性が低くなります。覚えやすいのに、なぜ必要なのでしょうか。

しかし、特に攻撃者がこの方法も聞いていて、ブルートフォースが4つのディクトナリーワードの組み合わせを強引に攻撃している場合は、ディクトナリー攻撃を受け入れる可能性があるようです。

ほとんどありません。その理由の1つは、攻撃者(オックスフォード辞書を使用した場合)がこのフル英語辞書をクラッキングに使用することを決定したためです。彼はかなり忙しいかもしれません;)2番目に重要なこと:攻撃者は通常、そのように総当たりしないでください。あなたが具体的にターゲットにされていて、動機が非常に大きいならば、彼はそのアプローチに行くかもしれません、しかしあなたがそうであるなら、2FAなどがあります。さまざまなシナリオで最も可能性の高い攻撃者はさまざまな形式のワードリストを使用しており、ランダムを正しく行った場合、文章が誰かのワードリストに含まれる可能性はほとんどありません。

もちろん、これはすべて、実際にどこでも(少なくとも何らかの方法で)パスワードマネージャを使用している人には当てはまりません。その場合は、単純に35文字の「ランダム」なパスワードを生成して、奇妙で覚えにくい文字をすべて生成して保存するように依頼するだけです。しかし、あなたがこのように尋ねたので、私はあなたが何らかの理由でそれをしたくない、またはできないと思います。

4
Ben

EFFのダイスページをチェックしてみます。 EFF Dice

この手法はマスターパスワードに対して機能し、ランダムに生成されたパスワードを他のすべてに使用します。上記のリンクから6つ(またはそれ以上)の真にランダムな単語をつなぎ合わせるのは、最初は覚えにくいかもしれません。家にいる間に小さなホワイトボードに書き留めて、それを覚えるのに必要なテクニックを使って、一日中それをちらっと見ました。覚えたらホワイトボードを消しました。パスフレーズはうまく機能します...そして、それは非常に長いです:)

3
vim_usr

他の答えは2つの非常に重要なポイントを作ります。

  1. パスワードの再利用は大きな問題です

  2. パスワードマネージャーは理想的なソリューションです

可能であれば上記をお勧めします。しかし、誰かに安全で覚えやすいパスワードを提供する必要がある状況を発見しました。4ワードの方法が理想的です。

4つのランダムな単語を提供しようとすると、それほどランダムではない可能性があります。食べ物、動物、その他の一般的な名詞と同様に、色は単語の1つである可能性が非常に高いです。英語には100万語の単語がありますが、非常に簡単に予測可能なパスワードを思い付く可能性があります。したがって、たとえばConor Manconeは7776語の辞書を提案しましたが、yellowcatrunawayのように、1000語以下のリストを使用して、4ワードの単純なパスワードが解読される可能性があります。

安全な4ワードのパスワードを使用するための私のアドバイスは、一般的ではない単語を使用することです。

2
Goose

覚えやすい強力なパスワードを作成するにはどうすればよいですか? 4 Wordメソッドは安全ですか?

覚えやすいパスワードは、大文字と句読点や数字を組み合わせたランダムな数十の文字と比較すると不利ですが、確かに覚えやすく、実用的です安全です。 4つの単語は珍しい文にする必要があります。より良いです。

PasswordMeter.com を使用してパスワードの強度を確認すると、次の結果が得られます。

パスワード:「Googleisyourmotherの名前」 -スコア:100%-複雑さ:非常に強い

HowSecureIsMyPassword.net クレーム:「コンピューターがパスワードを解読するには、約15兆年かかります」.

私の秘密を明かすことを試みます Password.Kaspersky.com はこう言います: "⚠️広く使用されている組み合わせがあります。パスワードは平均的な家庭用コンピュータで約10000世紀以上ブルートフォースされます。答えを見つけることができます人生、宇宙、そして当時のすべての究極の質問へ」

比較的単純なパスフレーズは、十分なレベルのセキュリティを提供し、覚えやすいですが、サイトごとに異なるパスワードを使用するだけです。最後に数字を追加すると便利です。

Googleのアカウントヘルプ:「 強力なパスワードを作成する は、覚えやすいパスワードのヒントをいくつか提供します。

  • ステップ1:パスワード要件を満たす

    パスワードは8文字以上にしてください。文字、数字、記号の任意の組み合わせを使用できます。

    次のようなパスワードは使用できません。

    • 他の多くのアカウントで使用されています

    • アカウントで以前に使用したことがある

  • ステップ2:適切なパスワードのヒントに従う

    強力なパスワードは、他人が推測することはほとんど不可能です。これらのヒントに従って、適切なパスワードを作成する方法を学び、自分のパスワードに適用してください。

    文字、数字、記号を使用してください

    • さまざまな種類の文字を組み合わせる

    英数字(文字と数字)と記号を組み合わせて使用​​します。

    • 大文字(大文字)。例:A、E、R

    • 小文字(小文字)。例:a、e、r

    • 数字。例:2、6、7

    • 記号と特殊文字。例:! @&*

  • 推奨事項と例

    文字を数字と記号に置き換える:単語またはフレーズを選択し、一部の文字の代わりに数字と記号を使用します。例:

    • 「Spooky Halloween」は「sPo0kyH @ ll0w3En」になります

    • 「後でゲーター」は「L8rg @ + 0R」になります

  • 文を短縮する:文を考えて、各単語の最初の文字を使用します。

    例:

  • 「ピーターおじさんはいつもチョコレートで覆われたすべてを食べました」は「uP @ 8cCe!」になります。

    長いパスワードを使用する:長いパスワードの方が強力です。スペースが許可されているので、お気に入りの曲、詩、引用文から覚えやすいフレーズや単語を使用できます。例:

  • 「0ペン<3 = 0ペンMIND」

  • 「それは長い道のりです2 Uがロック&ロールになりたい場合^」

  • 「時々、雲は月を見る人に休息を与える」

  • 個人情報と一般的な言葉を避けます

  • 個人情報を使用しない

    他人があなたについて知っている、または簡単に見つけられる可能性のある情報の使用は避けてください。例:

    • あなたのペットの名前

    • あなたのニックネーム

    • あなたの名前

  • 一般的な単語を使用しないでください

    推測しやすい単純な単語、フレーズ、パターンは避けてください。例:

    「password」や「letmein」などの明白な単語やフレーズ

    「abcd」や「1234」などのシーケンス

    「qwerty」や「qazwsx」などのキーボードパターン

    「sPo0kyH @ ll0w3En」や「uP @ 8cCe!」など、この記事の例

  • パスワードを再利用しないでください
0
Rob

パスワードは、ランダム化する必要があります覚えられるかどうかに関係なく、より大きなエントロピーのパスワードを生成することをお勧めしますこれは、総当たり攻撃を実質的に実行不可能またはほぼ不可能にします。

エントロピー

エントロピーは基本的にランダム性の程度であるため、基本的には特定のパターンを使用せずにランダムな特殊文字、数字、および文字を入力できます-例-"cvg * @ 3#5£22 @ _- +()czBbd * $ "はかなりのエントロピーを持っているため、ブルートフォースを実行するのが難しいため、デリケートなアカウントに適しています。なぜなら、大文字、小文字、数字、特殊文字も含むこれらの文字の組み合わせや組み合わせは非常に多くあるからです。

信頼できるパスワードマネージャを使用する

パスワードを思い出せない、または失くしたい場合は、password managerlastpassまたは1passwordパスワードを覚えやすくするために、パスワードをわかりやすくランダムにする必要がなく、パスワードを管理しやすくなるため、ブルートフォースが容易になります。

0
A Khan

はい、4つの単語は十分なエントロピーを備えた適切な長いパスワードを提供します(ランダムに選択した場合)。

私はすべてのパスワードに 4ワードパスジェネレーター を使用しています。短時間で覚えたり、電話に簡単に入力したり、オフィスの誰かに話したりできるので、とても便利です。

もちろん、人々がパスワードマネージャーとパスワードの再利用について言ったことはすべて真実であり、私はいつもそれらの1つも使用します-言われたように、繰り返す価値があります、パスワードの再利用は悪い悪い悪いです

0
mcfedr

パスワードマネージャーを使用することは素晴らしいアドバイスです(私がフォローします)が、必然的にパスワードを作成する必要がある場合があります。実際にあなたの質問に答えるには: Bruce Schneierの方法を試してください

私のアドバイスは、文章を取り、それをパスワードに変えることです。 「この小さな貯金箱は市場に出ました」のようなものは「tlpWENT2m」になるかもしれません。その9文字のパスワードは誰の辞書にもありません。もちろん、私はそれについて書いたので、これを使わないでください。あなた自身の文を選択してください-個人的なもの。

したがって、How can I make a strong password that's easy to remember?HcIma$TRONGpte2r?または類似したものになります。まだ少し短いと思いますので、もっと長い文章を考えてください。実際、文章全体を入力することもできますが、たまにそれをすることもあります。ただし、多くの場合、パスワードの長さが制限されています。

個人的に、私は問題のパスワードポリシーの愚かさなど、精神的な怒りに基づいてパスワードの文章を作成する傾向があります。感情は私の記憶を助けます。

本の引用、聖書の一節、映画、イディオムなどではなく、これまでに公開されたものを使用しないようにしてください。自分の脳からのものである必要があります。

0
bendodge