【IT】「パスワードは最悪な代物だ。なくなるべきものだ」=パスワードの父が「悪夢のような状況になった」と述べる : 理系にゅーす

～～引用ここから～～

1: ◆tpCCidmJeSC0 ＠Whale Osugi ★＠＼(^o^)／ 2014/05/23(金) 14:16:28.21 ID:???0.net

Danny Yadron and Katherine Rosman　2014 年 5 月 23 日 12:18 JST　ウォール・ストリート・ジャーナル
http://si.wsj.net/public/resources/images/NA-CB261_PASSWO_G_20140521193857.jpg
↑パスワードの父、フェルナンド・コルバト氏 MIT Museum　
フェルナンド・コルバト氏（87）は1960年代初頭にマサチューセッツ工科大学（MIT）でコンピューターのパスワードを初めて作ったとき、それが後に大混乱を引き起こすとは思いもしなかった。

　同氏は、パスワードが「悪夢のような状況になってしまった」と述べ、「全てのパスワードを覚えておける人がいるとは思えない」と話した。

　パスワードはコンピューターやスマートフォン（スマホ）のユーザーにとっては悩みの種、企業にとってはセキュリティー上の脅威だ。
競売大手のイーベイは21日、1億4500万人の同社ユーザーにパスワードの変更を促した。データ流出が理由だった。
ただし、これまでの経験からすると、この警告に従う人はあまりいないとみられる。

　先月、「ハートブリード（心臓出血）」と呼ばれるインターネット暗号化技術の欠陥について、一部の専門家は、今までに見つかったセキュリティホールで最悪のものの1つだと指摘した。このバグは何十億ものパスワードをハッカーの目にさらした恐れがある。
にもかかわらず、ピュー・リサーチ・センターによれば、成人のインターネットユーザーでハートブリード問題以降にアカウントを閉鎖したり、パスワードを変更したりした人はわずか39％にとどまる。

　ジェレミー・グラント氏は、「パスワードは最悪な代物だ。なくなるべきものだ」と述べる。同氏は、オバマ大統領がオンラインセキュリティーの強化のために2011年に創設した「National Strategy for Trusted Identities in Cyberspace」の責任者だ。

　しかし、そうした欠点にもかかわらずパスワードは幅広く使われ、安価なこともありウェブサイトの構造や人々の行動パターンに深く浸透している。
このため、それを他のものに置き換えようという取り組みは、ほとんど実を結んでいない。

　イーベイ・ペイパル部門のシニア・インターネットセキュリティ・アドバイザーを務めるブレット・マクドゥエル氏は、「50年前の技術で今も使われ続けているものは、これだけだろう」と話す。

専門家の間には、パスワードを不要にするため、指紋読み取り技術、虹彩スキャナー、それにUSBキーに期待する向きもある。
だが、その成果に失望が続いたことにより、企業幹部も科学者、技術者、政府関係者も皆、懐疑的になっている。マクドゥエル氏は米銀大手のバンク・オブ・アメリカやインターネット検索大手のグーグルなどの担当者とともに、「Fido Alliance」というパスワード代替プロジェクトに取り組んでいる。

　データ流出が頻発し、セキュリティの専門家が警告を発しているにもかかわらず、人々は覚えやすいパスワードに固執しており、多くのアカウントについて同じパスワードを用いることも多い。

続きはソースで

http://jp.wsj.com/news/articles/SB10001424052702303295604579578961518907566

引用元: ・【IT】「パスワードは最悪な代物だ。なくなるべきものだ」=パスワードの父が「悪夢のような状況になった」と述べる

4: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:17:43.00 ID:BC0TtMfM0.net

合言葉にしよう

85: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:48:49.82 ID:vRFEBzVx0.net

>>4
忠臣蔵かいなｗ

6: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:19:54.32 ID:khVLP2ih0.net

パスワード欄を******から●●●●●●に変えたやつは逝ってよし

98: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:51:45.63 ID:V0tMHh8G0.net

>>6
*は半角英数でも入力できるけど●はできないだろ
↓みたいな悲劇を回避できる

サポート：正しいパスワードを入れてますか？
相談者　：ええ、同僚が入力しているのを見ましたから。
サポート：そのパスワードを言ってもらえますか？
相談者　：星が5個です。

263: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 15:53:50.62 ID:MJkCeMi90.net

>>98
ありがとういいことを聞いた。これからアスタリスクでパス組むわｗ

盲点。まさかアスタリスクがパスだとはだれも思わないｗ

7: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:20:03.64 ID:mRcGhYNO0.net

だからさ
123456みたいなパスワードは登録させるな

25: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:28:21.84 ID:vuExFcUD0.net

>>7

そうすると「passは123456は有り得ない」って情報を攻撃側に与えるだけだから意味ないんだぜ

32: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:31:08.02 ID:FRFsz24y0.net

>>7
たとえば英文字限定にして、
英語辞書に載っている文言をすべて禁止にすればいいってことになるのだろうか。

13: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:22:07.63 ID:pe1A2fmw0.net

そろそろポータブル指紋認証を持ち歩いて端末につなげるシステムを構築すべきだな

15: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:22:45.73 ID:eHQF3FQN0.net

パスワードはやっぱりpassw0rdが最強ｗｗｗとかネタで２ｃｈに書き込んでたけど
本当にそういうパスワード使ってる人っていたんだな

17: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:23:15.93 ID:P7yyqAmI0.net

携帯にメールで送信されるワンタイムパスワードがいいのかな？

18: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:23:46.97 ID:9vjUmdov0.net

ネットバンクのパスワード定期的に変えろがしつこくてウザイ

20: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:24:23.80 ID:0Sl+oYnl0.net

パスワード頻繁に更新要求される。ネットバンクとかは特にね。
ワンタイム申請すりゃ楽になるんだろうか。

61: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:42:55.20 ID:TmWQE9Ck0.net

>>20
それはマルウェアだぞ…

24: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:27:29.21 ID:M0wfOFZN0.net

指紋読み取り技術、虹彩スキャナーもスマホで使ったらNSAに自動収集されちゃうじゃん

28: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:30:06.05 ID:KOiZ0oLV0.net

印鑑最強

34: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:32:20.91 ID:7qiktXKK0.net

漢字使わせろや

35: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:32:38.19 ID:8wdiRfLF0.net

パスワードなんてモニターの枠にテプラで貼っとけ！

45: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:35:32.67 ID:lcSilJw/0.net

>>35
俺の会社ｗｗｗｗ

152: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 15:04:24.14 ID:9vjUmdov0.net

>>35
会社の先輩は、キャッシュカードに暗証番号マジックで書いてて、俺にコンビニついでに金おろしてきてと頼む

37: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:32:41.27 ID:pguSuCBT0.net

8桁で英数字なら事実上36~8なんだろ
それで3回間違えるとロック
どうやってハッカーは見破ってるの？

46: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:35:48.54 ID:3YIMasF/0.net

>>37
逆ブルートフォースって手法もあるよ

アカウントxxxxx1
パスワードyyyy
↓
アカウントxxxxx2
パスワードyyyy
↓
アカウントxxxxx3
パスワードyyyy

ってパスワードを固定にしてアカウントをどんどん変えていくｗ

62: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:43:07.25 ID:hKIRIxya0.net

>>46
この手法は秀逸だよな
1ループ10分位に調節すればロック回避出来そうだ

58: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:41:44.34 ID:vLGO37mo0.net

>>37
決済する時にクライアント側とサーバー側で接続を確認するために一定時間ごとに信号のやり取りをしているらしい
この一定時間の信号をハートビート(心臓鼓動)になぞらえてるわけだが、クライアント側で送る信号を細工すると
サーバーからご丁寧に個人情報を含んだ信号が返って来るという欠陥が見つかって、心臓からの出血ということで
「ハートブリード」と言うんだとさ

39: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:33:24.65 ID:mkuJY5K30.net

ちょっとした工具があれば5秒で外せるようなチープな錠であっても防犯上一定の効果はある
要は堅牢性と使い方のマッチングの問題であってパスワードそのものが悪なのではない

90: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:50:02.51 ID:3IhwJWTp0.net

>>39
そのチープな鍵も
何十カ所とかかってる状態なんだよ

リアルに例えると
オートロック用パスワード、自室玄関用パスワード、下駄箱開ける用パスワード
廊下からリビングに向かう扉用パスワード
水道の蛇口をひねるためのパスワード、水が出る用のパスワード、コップの所有者確認用パスワード
寝室に入る用IDとパスワード…

今のパソコンってこんな感じだよな

48: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:36:41.96 ID:gmzGXW970.net

＞インターネット暗号化技術の欠陥について、～このバグは何十億ものパスワードをハッカーの目にさらした恐れがある。
の意味が分からずに書き込みしている馬鹿ばっか

49: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:37:14.77 ID:b363xn7g0.net

ATMの暗証番号が数字４桁なのは
いい加減どうにかしろと思う。

51: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:38:40.86 ID:f70SFDIhi.net

>>49
大手は生体認証導入してるで
まあ、使えないATMも多いが

235: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 15:36:45.59 ID:r8yK+7Ep0.net

>>49
そもそもカード自体も
本人を証明するデバイスを兼ねてるんだ

ATMが，口座番号と暗証番号両方を
自由に入力させる仕組みだったら
大変な事になるけど。

53: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:39:21.68 ID:BC0TtMfM0.net

漢字カタカナひらがな旧仮名遣い全部ありにしたら
日本人の被害はほとんどなくなるような気がする

77: 名無しさん＠１３周年＠＼(^o^)／ 2014/05/23(金) 14:48:06.16 ID:LBa28SyX0.net

>>53
古典的な総当り攻撃には有効だけど