web-dev-qa-db-ja.com

短いパスワードを許可すると、より安全になる場合がありますか?

パスワードに特定の基準を要求する行為により、ブルートフォースが容易になりますか?

Webサイトで「安全でない」パスワードの使用が制限されている場合、攻撃者がこれらのパスワードを確認する必要がなくなるため、パスワードがブルートフォースに設定されやすくなる可能性があると私には常に思われていました。これらの要件の最も基本的な(そしておそらく最も一般的な)要件は、パスワードを8文字以上にする必要があることです。他のいくつかのトピックで説明されています:

これに関する一般的なコンセンサスは、許可されていないパスワードのほとんどがとにかく可能性のあるパスワードではないため、より長い/より難しいパスワードを要求しても必ずしも解読が容易になるわけではないということです(大多数の人々はランダムな文字列を使用しないため)文字の)。

それでも、ほとんどの人がおそらく必要な長さのパスワード、または制限を1文字または2文字だけ超えているパスワードを使用しているように感じます。英数字のみの使用を想定し、8文字以上を要求すると、約3.5兆のパスワードの可能性が排除されます(それらのほとんどは単なるランダムな意味不明なものです)。これにより、8〜9文字の約13兆のパスワードが残ります。私の主な質問は次のとおりです:Webサイトのセキュリティに無視できるほどの違いがあるだけで、パスワードの要件が時々あるだけですか?

例:パスワードを作成するための1/100の試行は特定の基準を満たす必要はないかもしれません。その場合、パスワードがよりも小さい可能性があるため、攻撃者はすべてのパスワードをテストする必要があります。 8文字

20
MisterEman22

リストで見逃した関連する質問の1つは次の質問です。

パスワードの長さを秘密に保つことはどれほど重要ですか?

そこで受け入れられた答え(免責事項:私)は、95の印刷可能なすべてのASCII文字を許可するパスワードスキームを使用している場合、パスワードの長さを1増やすたびにキースペースが異常に急速に増加することを示しています。すべてのパスワードを確認できます。長さN + 1のパスワードのみをチェックするのにかかる時間の約1%で、長さNまで。あるカットオフ長より短いパスワードを拒否することで、キースペースの1%よりもはるかに少なくあきらめます。

だから、私は@Isziを2番目に言って

長さを増やすことで得られる利点は、失われる可能性のあるパスワードの数をはるかに上回ります。


次のポイント:8文字はパスワードとして長いという考えから抜け出しましょう。そうではない。まるで大きな数字であるかのように、「約13兆パスワード」と言います。そうではない。 この記事 (これは素晴らしい読みです)によると、彼のパスワードクラッキングリグは1秒あたり3500億回の推測を行う可能性があるため、〜13兆のパスワードを1つずつ1つずつクラックできます〜 10時間。そして、それは2013年のハードウェアであり、GPUはそれ以来多くの力を発揮しています。


私の意見は、ウェブサイトは誰がより優れたパスワード要件を持っているかについて考えることができますが、それらは非常に弱いです。パスワードを解読する私たちの能力は、長いパスワードを覚える能力よりもはるかに速く成長しています。これは、セキュリティがユーザビリティと衝突しているためです。技術系のオタクではない人に、英語の単語を含まない32文字のパスワードと、アカウントごとに異なるパスワードを記憶する必要があることを伝えてください。あなたは笑われて無視されます。哀れなパスワードポリシーよりも優れたものを実行しようとするWebサイトは、怒りの多い顧客に対処する必要があります。

解決策は、パスワードをすべて取り除き、オフラインのクラックが実行できない強力な2要素タイプの認証に移行することです。残念ながら、企業は10年足らずの間、パスワードの代替案について真剣に考えており、その提供は洗練されていません(それらは、大量採用を妨げている利便性と使いやすさの問題に悩まされています)。ほとんど役に立たないパスワード方式を別のものと比較する議論。 エンドオピニオン

57
Mike Ounsworth

答えはあなたの質問にあります。

英数字のみの使用を想定し、8文字以上を要求すると、約3.5兆のパスワードの可能性が排除されます(それらのほとんどは単なるランダムな意味不明なものです)。これにより、8〜9文字の約13兆のパスワードが残ります。

パスワードの最小の長さ、または正確な長さを設定すると、ユーザーは検索スペースにあるパスワードを選択する必要があります数桁このような要件によって無効になる弱いパスワードの数よりも大きくなります。

これをわかりやすく説明するために、単純化して実際に整数をここに書きましょう。すべて小文字のアルファベットのみのパスワードを想定すると、次のようになります。

8031810176長さが7以下の可能なパスワード。
200795254400正確に 8の長さの可能なパスワード。

可能な文字数を増やすと、失われるパスワードの数は、適用される複雑さに比べてさらに重要ではなくなります。

長さを長くすることで得られる利点farは、失われる可能性のあるパスワードの数を上回ります。また、削除されたパスワードは、そのような単純で効果的な対策が利用可能な場合に許可されるリスクが高すぎます。

11
Iszi

パスワードポリシーを均一に適用しないと、不要なセキュリティリスクが発生し、セキュリティが確実に向上するわけではありません。

脆弱なパスワードの存在を許可すると、攻撃者が一般的なパスワードのリストを使用してハッシュをクラックする可能性が向上します。この問題は、ユーザー数が増えるにつれて悪化します。 1/100アカウントにパスワードポリシーに準拠していないパスワードがあり、100,000アカウントが存在する場合、1000アカウントに弱いパスワードが設定されます。

また、アプリケーションは特定の状況下でポリシーを実施しないように特定のロジックを必要とするため、実際にはすべてのユーザーにポリシーを実施するよりも、ユーザーのサブセットのみにポリシーを選択的に実施するだけの方が手間がかかります。強力なパスワードポリシーを要求し、すべてのアカウントに均一に適用する方が簡単です。

3
Justin Moore

これは良い考えではありません。

私も質問を引用したいと思います:

それでも、ほとんどの人がおそらく必要な長さのパスワード、または制限を1文字または2文字だけ超えているパスワードを使用しているように感じます。

同意する!まあ、実際に最小長を0に設定した場合、ユーザーが1文字または2文字のパスワードを作成するとは想定していませんが、制限のないユーザーのほとんどは長いパスワードを作成しません。したがって、攻撃者はこれらの人々を悪用し、制限を完全に適用した場合よりも成功するために、最も一般的なパスワード(「qwerty」や「dragon」など)を最初に試す必要があります。 8文字未満のパスワードは上記よりも桁違いに少ないと述べています。

別の方法最小長制限を課したユーザーの部分を攻撃し続けることができます-例では-「略奪」の99%(@Dennis Jaheruddinのコメントを参照) 。パスワードセキュリティでは、桁違いの問題であるため、それほど役に立ちません。クラッキング速度が1.01%(1/99)増加することで相殺されます。 (楽しい事実:ムーアはそれが8日で完了すると言います)

3
Leif Willerts

たとえば、NT LAN Manager(NTLM)の実現など、パスワード保護が不適切にコーディングされている場合があります。パスワードで使用される辞書の単語または予測可能な順序付けされたシーケンスの場合-ハッシュおよび暗号化の前にパスワードが7文字の部分に分割されるため、7シンボルの方が8または9 10または11または12または13より優れています。

詳細はこちらをご覧ください: https://security.stackexchange.com/a/21267

0
Roscha Hacker