パスワード
パスワードの強度を確認する
パスワードの作り方のヒント
たとえばsocialscienceをパスワードに使いたいとする。もちろんこのままでは弱すぎる。
というので
- s→$
- o→0
- i→!
- a→@
- l→1
に置き換えるというテクニックがある($0c!@1$c!ence)。
ちょっとは強度は増すようだが全然足りない。というのは攻撃者(クラッカー)にはこの手の置き換えは既知のものとなっているのだ。というのでこの手のテクニックは有効では無い。
重要なのはパスワードの長さ(文字数)である。8文字では足りない。12文字が最低ライン。しかし無意味な長い文字列はユーザーが覚えられない。ではどうするのか?
- 辞書を用いる
-
私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。)
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年3月27日この提案を採用する際、重要なのは単語の選択はランダム(無作為)で無ければならない、ということだ。例えばRyukokuDaigakuSyakaigakubuはランダムではない(上記チェッカーでは判定できない)。
- ランダムパスフレーズ生成システムを用いる
- パスワード等発給システム