web-dev-qa-db-ja.com

特殊文字を含むパスワードが長いパスワードよりも安全であると考えられるのはなぜですか?

たとえば、 [〜#〜] owasp [〜#〜] は、小文字、大文字、数字、特殊文字を含む10〜128文字を考慮します(上限がある理由はわかりません)。 OWASPの最小ガイドラインを使用し、28の特殊文字があると仮定すると、エントロピーは3e19です。しかし、小文字のみの16文字のパスワードでは4e22です。大文字で投げれば2e27です。コンピュータはかなり高速で計算できますが、それが何であれ、エントロピーを下げます。つまり、差は0から19までではなく、5から2まで近くなります。つまり、差は非常に大きくなります。

長さが問題になる場合は、小文字の12文字と大文字の3文字が3e20になります。他の大企業は依然として、人々に特殊文字を含む8文字以上の長さを使用することを強制しています。他の2文字の方が安全であるだけでなく、覚えやすいのに、なぜ人々に特殊文字と内線番号を使わせるのか?なぜ彼らはこれについてそれほどアナルですか?

エントロピーを大幅に制限するために実際の単語を使用するだけなので、長いパスワードは悪いと主張する人もいます。それに対して、私はより短いパスワードで同じことを言うでしょう、それゆえ辞書+ルール攻撃。数字や特殊文字を強制すると、[Word]1!のようなパスワードになり、さらに悪いのはPassword1!になります。安全なパスワードに特殊文字が必要な理由、または証拠がないにもかかわらずそのように見なされる理由を誰かが説明できますか?.

5
Geoff Lee

それはUXです。混合文字を必要とすることで、ユーザーが一般的な単語やフレーズを使用する可能性が低くなり、 辞書攻撃 の影響を受けやすくなります。追加のエントロピーはボーナスです。ご指摘のとおり、追加の文字も同様に効果的です。

2
John Wu

それは、人々に特殊文字の使用を強制しないと、それらはおそらく使用されないからです。同じことが大文字と数字に当てはまります。これらのいくつかの組み合わせを強制すると、パスワードの各文字に含まれる可能性のある文字の数が増えるため、常にエントロピーが増加します。

状況に関係なく、特殊な文字や数字の要件があると、パスワードの解読が困難になります。 p @ $$ w0rdは、パスワードよりも少し難しいです。

問題がある場合、それは顧客にとって余分な労力と煩わしさの価値があるかどうか、それは別の問題です。

1
Obscure

真実かもしれないブルートフォース攻撃のシナリオのみを考慮します。ただし、他のパスワード推測手法を検討すると、これは正しくない可能性があります。

許容できる長さの小文字のパスワードを使用することを許可/強制する場合(エントロピーが高い場合)、パスワードはランダムなテキストにする必要があります。現実世界のシナリオでは、平均的なユーザーは言語の単語や文を使用するため、エントロピーは予測不可能であることがわかっているため、エントロピーが減少します。

$33th1sP@ssw0rdまたはseethispasswordwhichislongerbutnotsecureenough

0
Tariq B.