辞書に載っている単語で作られた、覚えやすい長いパスフレーズは本当に安全でしょうか?

Question 1

はい、そしていいえ。この件についてはSecurity.SEで多くの議論がなされてきました。まずは、ジェフ・ゴールドバーグの回答:

XKCD コミックが効果的に伝えていないのは、単語の選択は (一様に) ランダムでなければならないということです。人間に単語をランダムに選択するよう求めると、具体的な名詞に大きく偏ります。このような偏りは悪用される可能性があり、実際に悪用されるでしょう。

これはおそらく、XKCD スキームに対する最も重要な打撃です。人間はランダムな何かを思いつくのが苦手です [要出典]。」私は素晴らしい犬と猫が大好きです「」は確かに十分に「長い」ですが、決して予測不可能なものではありません。

(余談ですが、ジェフは、XKCD スキームは実際にはランドール・マンローのオリジナルではないことも指摘しています。

「XKCDのような」パスワードの全体的なアイデアは、少なくともS/Keyワンタイムパスワード1980年代初頭から。

）

の最も投票数が多かった回答私たちが何に対して防御しているのかを知る必要があるという事実を思い出させてくれます。

パスワードに関する一貫したアドバイスがない多くの理由の 1 つは、すべてが脅威モデルの問題に帰着するからです。具体的に何を防御しようとしているのでしょうか?

たとえば、あなたを特にターゲットにし、パスワードを生成するシステムを知っている攻撃者から保護しようとしていますか? それとも、漏洩したデータベース内の何百万人ものユーザーの 1 人ですか? GPU ベースのパスワードクラッキングや、単に脆弱な Web サーバーから防御していますか? マルウェアに感染したホスト上にいますか?

攻撃者はパスワードを生成する正確な方法を知っていて、あなたを狙っていると想定すべきだと思います。xkcd コミックでは、どちらの例でも生成の詳細がすべてわかっていると想定しています。

この短いリストをご覧ください。このプロファイルに当てはまる場合は、XKCD スキームが適している可能性があります。

1. パスワードは 1 か所でのみ使用されます。

2. 正直な人々やスクリプトキディを自分のアカウントやデータにアクセスさせないようにすることだけを気にします。

3. まあ... 3 は本当にないですね。

はっきり言って、あなたが使用しない限りダイスウェア覚えやすいパスワードを生成するために、XKCD スキームを真剣に使用する必要はありません。トロイ・ハントは以前これを分析した。彼がその投稿の終わり近くで述べているように、「最善の」パスワードのアドバイスは、完全にランダムなパスワードとパスワードマネージャーを使用することです。

つまり、合計で 130 個のアカウントを追跡していることになります。この記事を読んでいて、30 個未満のアカウントを持っている人はほとんどいないでしょう。たとえ今すぐにすべてを思い浮かべることができなくても (これまでに作成したすべてのアカウントを本当に覚えているでしょうか?)、正直に言って、あまり頻繁に使用しないものも含めて、すべてを合計して、何個になるか考えてみてください。そして、現在 30 個のアカウントを持っていないとしたら、30 個になるまでにどれくらいの時間がかかるでしょうか? 最近、60 代の父親と一緒にパスワード管理の演習をしましたが、私はテクノロジーのバックグラウンドを持っていませんが、通常のオンラインユーザーは、最悪の場合、指とつま先で数えられる以上のアカウント、記憶力で処理できる以上のアカウントを持っていることはほぼ間違いないと思います。

私は 130 個のアカウントを持っているわけではありませんが、パスワードマネージャーには指や足の指以上のものを持っていることは確かです。仕事用のコンピューターのパスワードを変更するたびに、それを記憶できるようになるまで 3 週間ほど連続して使用する必要があります。そして、これは実際に手入力しているパスワードの 2 ～ 4 個のうちの 1 つです。これを 30 ～ 100 個のアカウントに拡大すると、まったく機能しなくなります。

Answer