web-dev-qa-db-ja.com

インテルのパスワードページはどれほど強力ですか?

私はこれに遭遇しました パスワードの強度はIntelですか? ページは、パスワードの強度を推定します。

複数のパスワードを使用する必要があることなど、より適切なパスワードを選択するためのアドバイスがあります。

しかし、それはこれを言った後:

ステップ3:セキュリティを強化するためにソーシャルパスワードを多様化する
"My 1st Password !: Twitr" "My 1st Password !: Fb" "My 1st Password !: Redd"

これは、「私の最初のパスワード!」を使用するよりもセキュリティを高めますか?

同じパスワードを2回以上使用しない理由は、サイトが危険にさらされた場合でも他のサイトのパスワードが安全であるためです。

しかし、ここでのパスワードが "UltraSecurePassword:StackExchange"だった場合、Facebookのパスワードが "UltraSecurePassword:FB"であると簡単に推測できないでしょうか。

24
user25751

はい、あなたは正しいです。パスワードのプールを使用することは間違いなく推奨されますが、パスワードはパターンに従うべきではありませんが、それが私たちの考え方です(私たちはセキュリティ担当者です)。ほとんどの一般的なユーザーは単純に複数のパスワードを覚えておく必要がなく、すべてのパスワードに共通のパターンがあることで異なるパスワードを使用するようになるので、作者は一般的なユーザーの観点から考えていた可能性があります。覚えるのがはるかに簡単です(そして、スマートなハッカーが推測するのも簡単です)。

私は個人的にパスワードのプールを維持することを好みます。今日では、ランダムなWebサイトの数でアカウントを作成する必要があり、パスワードがどのように処理されるかがわかりません。ジョブポータル(monster.comを読む)で一度、パスワードを忘れてクリックし、元のパスワードをプレーンテキストでメールで送信したことを覚えています(まだ実行中です!!!)。ここのコミュニティでは、パスワード管理についていくつかの素晴らしい議論がありますが、あなたのセキュリティを気にしない人々がいます。

他の場所では、銀行関連のパスワードやその他の重要なパスワードを使用しないでください。これらのランダムなWebサイトでは、比較的単純なパスワードをいつでも覚えておくことができます。

22
Shurmajee

はい、サイトごとに異なるパスワードを使用することをお勧めします。

はい、パスワードの生成に使用する共通のテーマがあれば問題ありません。 2つの警告があります。それは、Intelのサイトで提案されているほど簡単に推測できるものであってはなりません。あなた[〜#〜]必須[〜#〜]保持は秘密です。

もちろん、最善の解決策は、1つの長くランダムなパスワードを覚えておくことです。これにより、さまざまなアカウント用にランダムに生成されたパスワードを含むパスワードセーフへのアクセスが許可されます。 LastPass または KeePass のようなさまざまなソリューションが存在し、うまく機能します。

Intelのサイトが実際にどれほど恐ろしいかについての素晴らしい洞察については、このarstechnia article を参照してください。

9
user10211

確かにこれまでで最高のアドバイスではありませんが、パスワードのセキュリティに関する一般の認識を高めようとする大企業の支援に感謝する必要があると思います。

ただし、第3ステップに関する懸念は正当化されます。インテルのような名前にはもっと期待するべきです。あなたが彼らの忠告を文字通りに受けすぎた場合、すべてのパスワードが侵害されるために必要なのは、信頼できないまたは侵害されたWebサイトでそのような反復の1つを使用することだけであり、攻撃者は他のサービスで使用する他のすべてのパスワードを簡単に予測できます。これはIntelの見落としであり、彼らのアドバイスは確かに疑問視されるべきです。

別の疑わしい選択肢は、パスワードチェックの動作方法でもあります。2回入力してからボタンを押す必要はまったくありません。送信されないこととクライアント側でパスワードの強度が計算されることを彼らが述べたとしても、入力時にパスワードの強度を計算するユーザーインターフェイスによってさらに強調され、関連するクライアント側のスクリプトの存在が明確に示されます。これらの計算では。正直に言うと、彼らの選択はかなり独特だと思います。

7
TildalWave

短い答えはイエスです。しかし、人間は癖のある生き物である傾向があります。したがって、複数のアカウントに同じパスワードを使用する傾向があります。この記事は、パスワードを変更したくない人のために少し口当たりを良くしようとしていると思います。

「私の最初のパスワード!」すべてのサイトで、1つのサイトで「My 1st Password!FB」を使用し、別のサイトで「My 1st Password!twitr」を使用するよりも安全性が低いです。 2番目のものを壊すことができる。

パスワードが同じである場合、ハッカーが最初のパスワードを取得して辞書に追加し、2番目のパスワードのハッシュを取得すると、ハッカーは簡単にパスワードを破ることができます。

7
Jason H

インテルはもっとよく知っているはずですが、これは繰り返し発生するテーマのようです。エンドユーザー、特に技術者以外のユーザーが、完全に疎外することなく、行動の側面を改善するにはどうすればよいでしょうか。

ここで、そして他のセキュリティコミュニティでは、これらすべてのことをすでに知っており、うまくいけば私たちの家族はいくつかのアドバイスを得ることができますが、セキュリティやリスクの経験がない人に孫の名前をパスワードは悪い考えですか?それは確かに彼らがそれを覚えるのに役立ちます、それでそれは重要ですよね?

パスワードの安全度について理にかなった見方が必要な場合は、トピックに関する ブログ投稿 を参照し、すべてのリンクをたどってください!有名なxkcdの漫画に触発された、非常に賢い人々がガイダンスを提供しています。

7
Rory Alsop

基本パスワードから始めて、アクセスしているサイト(またはコンピューター名)に基づいてさまざまな文字で装飾することに関する一般的なアドバイスは良いと思います。これは、複数のサイトに対して侵害されたパスワードリストをチェックするほとんどの自動化された方法をおそらく停止するため、覚えやすく安全であるという利点を提供できます。

そうは言っても、このモデルの特定の実装の問題は、ハッキングされた単一のパスワードを使用すると、ハッカーが一目で他のパスワードを推測できることです。

代わりに、次のような強力なベースパスワードを推奨する必要があります。

j3PL9$#U(B

これは些細なことではありませんが、一度覚えておくだけで済みます。次に、URLの文字に基づいて、自明ではないアルゴリズムを考え出すことができます。アルゴリズムは次のようになります。URLの最初の文字を大文字にし、最後に置き、URLの最後の文字の小文字バージョンを最初に置きます。したがって、私の例では、パスワードは次のようになります。

フェイスブック - kj3PL9$#U(BF

ツイッター - rj3PL9$#U(BT

Reddit-tj3PL9$#U(BR

これらのいずれか1つを見ると、パスワードがサイトのドメインと何らかの関係があると推測することはほとんど不可能です。ほとんどの人にとって、これは数字と文字のランダムな文字列のように見えます。

もちろん、「URLの2番目の文字をパスワードの最後の文字の隣に置く」のようなことをすることで、これをより複雑にすることができます。

6
Javid Jamae

完全に同意します-どんなに複雑なパターンであっても、予測可能なパターンを使用すると、強力なパスワードの考え方全体が損なわれます。私はそれをこのようにしています:
-パスワードの99%に対して、Keepassで生成(およびそこに保存)されたランダムパスワード
-重要なウェブサイトのために、Gasserジェネレーターの助けを借りて生成されたパスワードはほとんどありません。
例えば。そのようなパスワードの生成プログラムの例: http://www.multicians.org/thvv/gpw-js.html

4
Yuri

私はコメントの大部分を流し読みしましたが、ITセキュリティの人々は、単純そうに見えても実際にはそうではないパスワードを見ると、過剰に反応する傾向があると思います。パスワード攻撃には多くの手法がありますが、実際には、Intelの考えに多少同意します。

GRCのインタラクティブブルートフォースパスワード「サーチスペース」計算機によると、My 1st Password!: Twitrを使用すると、このパスワードをブルートフォースにするのに1秒あたり100兆回の推測を行うと、約98.8兆兆回かかります。

わずかな変化のある10個の異なるアカウントでも同じパスワードを使用すると、ブルートフォース攻撃を試みるための想像を絶するほどの時間枠が生じます。

参考までに、j3PL9$#U(Bなどのパスワードを使用すると、毎秒100兆回の推測で1週間以内に収まるので、不可能と思われることの方が簡単です。

これは単に総当たりの方法です。明らかに、ハッシュを取得してRainbowテーブルを使用する方がはるかに優れたソリューションですが、ハッシュが得られれば、パスワードの複雑さに関係なく、とにかく何とかすることができます。

0
Travis

彼らが示唆しているのはコンプライアンスの問題だと思います。あなたのすべてがはるかに強力なパスワードを提案していることを認め、完全に正しいです。

しかし、普通の人間はこれに準拠していません。そして準拠しません。そして、彼らが従わなかったり従わなかったりした場合、彼らはひどく壊れる単純な何かにチートバックする方法を見つけるでしょう。

とにかくひどく壊れそうな場合は、少なくともひどくひどく壊れるようにし、悪者がパターンを理解する前に2(またはそれ以上)ひどくひどく壊れるようにします。インテルが提案するものを見ると、パスワードは覚えておくことができます。悪者がパターンを推測し始めるには、少なくとも2時間が必要です(おそらく1から推測し始めるでしょう)。そして、たとえ推論したとしても、それらにはまだ非標準のシーケンス(1つで5文字、2つ目で2つ、3つ目で4つ...)があるため、まだやらなければならない作業があります。はい、辞書は有効範囲を狭め始めますが、それでも機能します。

そして、あなたはrj3PL9 $#U(BTよりもコンプライアンスが向上する可能性があります。私の年齢では、私は毎日それを忘れてしまいます。そして、はい、私はパスワードマネージャーを使用しますが、時々、私はそれらを持ちません-だから私も覚えておく必要があります!

0
Tek Tengu