パスワードルールとは何ですか?また、それらを安全に守る方法は?
より良いパスワードを作成するのに役立つガイドラインとグッドプラクティスがたくさんあります。しかし、ロリー・クレイナー教授が率いるカーネギーメロン大学の研究チームは、それらのいくつかに挑戦し、再定義しています。
Cranor氏のチームは、今日多くのWebサイトで採用されているものと同様のパスワードセキュリティメーターを開発しました。ただし、Cranorは、これらの現在の実装にはルールが設定されているが、意味のある方法でそれらを強制していないと主張しています。たとえば、パスワードの長さと文字、数字、記号の組み合わせが必要になる場合があります。ただし、「$ chrys4nth3mum $」のようなパスワードは、現在のパスワードチェッカーで必要なすべてのボックスをチェックし、それでもかなり弱い場合があります。
メーターは何をしますか?
Cranorのメーターには、ユーザーがパスワードを入力して教えようとするときにパスワードの代替手段を提供し、パスワードとして使用する通常の単語の末尾に「1」を付けるだけでは良くない理由を理解するのに役立つ提案アルゴリズムが装備されています。考え。同様に、大文字と通常の大文字を同じ文字列に混在させることは、パスワードで使用する単語の最初の文字を単に大文字にするだけでは不十分です。
大学のセキュリティラボは、Cranorの監督下で、セキュリティメーターから提供された提案を使用して独自のパスワードを作成した多数の参加者を使用してテストを実施しました。ユーザーには、少なくとも10文字の長さのパスワードを作成するという1つの固定ルールが与えられました。この時点から、メーターのアルゴリズムは、入力されたパスワードを動的に改善するための動的な提案を提供し始めました。
メーターから何を学ぶことができますか?
Cranorのチームによって開発されたメーターは、まだどのライブサービスにも実装されていませんが、通常のユーザーがそれから学ぶことができることはたくさんあります。通常の辞書の単語をパスワードとして使用し、文字列の前に文字を置き、文字列の後ろに記号を置くことは、良い考えではないことを覚えておくことが重要です。
パスワードブルートフォースは、事前設定された辞書に大きく依存することが多く、現在の計算能力により、ブルートフォースツールは毎秒非常に大量のブルートフォース攻撃を実行できます。
さらに、文字列の一方の端にグループ化するだけでなく、パスワード文字列の間に記号や数字を散在させることが重要です。