web-dev-qa-db-ja.com

パスワードが一意である場合、それが本当に「強力」であるかどうかは重要ですか?

人々はこれを見つけたようです「パスワードが非常に強力な場合、それが一意である場合、それは問題になります」 質問 非常に興味深いですが、実際には、逆の質問も興味深いことを思い出しました。オンラインアカウントの一意のパスワード、パスワードの「強さ」(つまり、複雑さとランダムさ)は実際にはそれほど重要ですか?

非常に、非常に、非常に多くのアドバイス、そして「セキュリティを意識した」雇用主を持つ従業員には、必須のルールが「強力な」パスワードを作成する必要性とその方法についてユーザーに発行されました。しかし、このアドバイスとそれらのルールは、パスワードが実際に使用される方法と場所を考慮しないことがよくあります。具体的には、オンラインサービス、作業中のリモートサーバー、およびほぼすべての場所で責任を持って管理されているパスワードとPINで使用されているロックアウトおよびスロットリングメカニズムのパスワードセキュリティへの影響を完全に無視します。 =認証システム。

少し極端なシナリオについて考えてみましょう。

名前のない米国の大手銀行のオンラインアカウントに新しいパスワードを設定しています。そのパスワードを作成するために、私は怠惰になりたいと思いますが、私が使用する他のパスワードとまったく同じ(またはそれに近いもの)で、ばかばかしく一般的ではない、または簡単に推測できないものも選びたくありません。それで、私は自分のウェブブラウザを起動し、 ここ から(puesdo)ランダムに選択された英語の単語をつかみ、 here からランダムに選択された数字をタックするとしましょう。 ..

direful4

direful4は完全に一意であり、これまでに使用した、または今後使用する他のパスワードとは無関係です。また、攻撃者がパスワードとその選択方法に関する情報を持っていないと仮定しましょう。 (また、今日の私の銀行では、このような「弱い」パスワードを最初から設定することも許可していると仮定しましょう。)

そのため、銀行のサイトでブルートフォースクラッキングを行う際に、ログインロックアウトまたはスロットリングメカニズムが失敗した場合、攻撃者の速度に影響を与えるという制限に留意し、direful4銀行のパスワードは、たとえばKt3w54EIsq%OinCs8@f?もしそうなら、どのように?

(数年前に私が読んだいくつかのマイクロソフトの研究者からの優れた論文のキャップのヒントは、これについて本当に私に考えさせました:「 「強力な」Webパスワードは実際に何かを達成しますか? ?」)

6
mostlyinformed

はい、安全性は低くなります。ハッカーがハッシュされたパスワードを含む銀行のユーザーデータベースのコピーを入手した場合、それらはWebインターフェイスのスロットルまたはロックアウトによって制限されなくなり、ハッシュに対して全速力のブルートフォース攻撃を実行できるためです。銀行が効率的なハッシュアルゴリズムを使用している場合(明らかにそうするべきではありませんが、実際にはすべてが完璧なセキュリティを備えているわけではありません)、攻撃者は1秒あたり10億回の試行を行う可能性があります。その速度で、彼らは数字と大文字と小文字が混在した8文字のパスワードを2日半で列挙できます。

7
Mike Scott

パスワードの長さは、ブルートフォース+オフラインハッシュクラッキングシナリオに最も関連する要素です。パスワードが長いほど、すべての可能性を列挙するのに時間がかかるため、より多くの時間/セキュリティを獲得できます。

「ランダムさ」も重要ですが、それは、kolukeが言ったようなレインボーテーブル/辞書攻撃のみに当てはまります。したがって、ランダム性は特定のケースには無関係である可能性がありますが、最も基本的なアプローチを排除することを目的としているため、ブルートフォースの手法をボトルネックにします。

編集:すべてのパスワードが少なくとも最低レベルのセキュリティを満たすことを管理者として保証するため(たとえば、3ワードのパスワードなし)パスワードとして「password」、「secure」、「04.04.1997」などを使用することを許可しません。ポリシーに合格したすべてのパスワードが「安全」であるとは限りませんが、少なくとも私はそれらのセキュリティが架空のものではないことを知っています。

5
Scrayos

direful4のような英数字のフレーズを使用する場合、パスワードの推測やブルートフォースはかなり簡単です。パスワードが強力であるほど、サイトのアカウントデータベースが危険にさらされた場合に、推測や総当たりが困難になります。

言及した銀行のサイトで安全でないパスワードを保存でき、複数回のログイン試行が失敗した後に銀行がアカウントのロックに失敗した場合(またはデータベースが危険にさらされている場合)、より強力なパスワードを使用すると、誰かがパスワードを解読しようとするのをより防ぐことができますレインボーテーブル、ブルートフォース、または辞書攻撃を使用します。

パスワードセキュリティ(および一般的なセキュリティ)の考え方は、誰かが間違えたり、悪意のある俳優が1つの保護を回避する方法を見つけた場合に、ポリシーにいくつかの重複を持たせることです。これは、階層化セキュリティアプローチと呼ばれます。たとえば、ハッキングされるとは誰も予想していませんが、ハッキングされた場合は、広範囲のアクセスログがあると、攻撃の誰が、何を、いつ、どこで行ったかを特定するのに役立ちます。同様に、ウイルス感染を防止するためにマルウェア対策ソフトウェアを実行しますが、マルウェアがマルウェア対策保護を回避できる場合に備えて、重要なデータのバックアップを保持する必要があります。

2
koluke

脆弱なパスワードを保護する手段を提供するためにサーバーに依存することはできません。サーバーが攻撃者によるブルートフォースを防ぐためにキャプチャを表示している場合でも、攻撃者は十分に辛抱強く、別の日または別の時間を試す必要があります。サイトは、攻撃者が同じかどうかを確認するためにCookieを使用している可能性もあります(攻撃者はCookieを削除する可能性があります)。サーバーは、IP:TORに頼って救助することもできます。ソースアプローチに固有で追跡不可能な方法で提案しているのは、あいまいさによるセキュリティであり、これは、セキュリティ業界では広く軽視されているアプローチです。関連のないパスワードは、John The Ripperの推測手法から保護するのに適していますが、ブルートフォースに対して脆弱です。私はiCloudの有名人のリークを考えています。犬の名前や生年月日が記載されているセレブが使用しているパスワードは、5文字または6文字の英数字のパスワードであっても、Appleロックダウンメカニズム。

アドバイスの言葉:大きなパスワード+パスワードマネージャー=幸せ

1
BrunoMCBraga

このパスワードを再利用したり、このパスワードの反復やバリエーションをどこにも使用しない場合は、オンラインでブルートフォースできない限り、強力なポリシーを適用してパスワードを生成してもしなくてもかまいません。アプリケーションは、ログイン試行の失敗を十分に許可しないか、またはこれだけ多くのパスワードをオンラインで試すにはコストがかかりすぎるため)。

私が考えることができる唯一のシナリオは:

攻撃者がなんらかの理由でターゲットシステムに一時的にアクセスできたとしましょう。サーバーに何も追加したくないため、アクセスを維持せず、バックドアも何も追加していません...

彼はデータベースをダウンロードするだけで、このシステムに二度と侵入しないことを決定します。 (または、侵入を検出することは決してないかもしれませんが、システムにパッチを適用し、彼は戻ることができません)。

これで、ハッシュまたはパスワードを解読できる場合でも、このサイトで偽装することができます。一方、パスワードが強ければ、多分彼はそれを行うことができないでしょう。

(ええ、それは2年前だと知っていますが、自分の分析で間違っているかどうか知りたいのですが)。

1
Maxime