web-dev-qa-db-ja.com

文字の反復的なパターンを持つパスワードは、どれほど安全性が低くなりますか?

私のパスワードがブルートフォースするのが非常に難しいだけでなく、覚えやすく、便利であることを確認したい.

したがって、私の考えは、短いパスワードを使用して、次のように数回繰り返すことです。

Password654321Password654321Password654321Password654321Password654321

これは、完全にランダムで他のすべてが等しい(同じ長さ、同じ文字、数字が使用される)パスワードを使用する場合と比較して、どれほど安全ではありませんか?例えば:

aP2wd1odsaaP42r.....3dr

または、両方のオプションを等しくブルートフォースにするのは難しいですか?

また、パスワードが辞書の一部ではないと仮定します。

3
Jeff Kendall

完全にランダムなパスワードを使用する場合と比較して、どれほど安全性が低くなりますか?

または、両方のオプションを等しくブルートフォースにするのは難しいですか?

これらの質問は、セキュリティコンテキストがなければ少し意味がありません。 Electronic Frontier Foundationには、 " Assessing Your Risks "と呼ばれる優れたガイドがあります。チェックリストのポイント2、4、および5は、ここで最も関連性があるようです。

  1. 何を保護したいですか?

  2. 誰から保護したいですか?

  3. 私が失敗した場合、結果はどのくらい悪いですか?

  4. 保護する必要がある可能性はどのくらいありますか?

  5. 潜在的な結果を回避するためにどの程度のトラブルを経験してもよいですか?

提示するパスワードスキームは、攻撃者がパターンを見つけ出し、そのパターンに基づいて単語リストを作成するまで有効です。

誰から守りたいですか?

あなたのパターンは、それをタイプするのを聞く誰にとっても非常に明白です。したがって、脅威モデルに家族、同僚、できる人が含まれている場合 部屋にマイクを設置する 携帯電話にアクセスできれば、ほとんど価値がありません。

保護する必要がある可能性はどのくらいありますか?

すべてのWebサイトでこのパターンを使用している場合、パスワードが haveibeenpwned.com に表示されるようになるのは時間の問題です。

サイバー犯罪者があなたの研究に時間を費やすターゲットは十分ですか?国際的な敵を持つジャーナリストである親しい友人や家族はいますか?たとえば、あなたの会社はランサムウェアまたは軍事/産業スパイの標的になっていますか?もしそうなら、あなたを研究している誰かがあなたの古い漏らされたパスワードを見つけて、あなたのパターンが何であるかをかなり迅速に理解するでしょう。

潜在的な結果を防止するためにどの程度のトラブルを経験してもよいですか?

この質問への回答は、上記の質問への回答方法によって異なります。

このパスワードが、国家/犯罪のセキュリティグループにとって価値のあるものを保護している場合は、「トリック」に基づくものではなく、適切な強力なパスワードを使用する必要があります。 EFFには強力なパスワードを作成するためのガイドがあります 、それを読むことをお勧めします。

ボトムライン:提案するパスワードスキームは、ランダムなドライブバイパスワードの推測から安全に保つことができますが、同じ努力で、何かをすることもできます。 DiceWare passwords または password manager のように強力です。

3
Mike Ounsworth