より長いパスワードはより安全です?

<h1>オンラインで安全に保ちたい? これは、パスワードの長さです</h1>
<blockquote>主要なセキュリティアーキテクト</blockquote>
<h2>パスワードセキュリティ：複雑さと複雑さ. 長さ[2021年更新]</h2>
<p>ユーザー認証に関しては、パスワードは最も使用されているメカニズムです。パスワードは、コンピューター、モバイルデバイス、ネットワーク、またはオペレーティングシステムにアクセスするために使用されます. 本質的に、彼らは私たちの日常生活の一部です. 時間の経過とともに、要件が進化しており、今日では、ほとんどのシステムのパスワードは、数字、特殊文字、上部と低いケースの組み合わせなど、しばしば長い文字のセットで構成されている必要があります。. パスワードの強度は、それがどれほど複雑で長いかという関数として見られます。しかし、最も重要なことは、サイズまたは複雑さです?</p>
<p>識別および/または認証に使用される方法に関係なく、どのシステムがハッキングにかかりやすいシステム. パスワードで保護されたシステムまたはデータの収集（銀行口座、ソーシャルネットワーク、電子メールシステムを考えてください）は毎日調査され、フィッシングやソーシャルエンジニアリング方法だけでなく、パスワードクラッキングツールによっても頻繁に攻撃されることがあります。. 議論は常に開かれており、長さと. 複雑さの問題は、専門家とユーザーを分割します. どちらも長所と短所、そして彼ら自身のサポーターを持っています.</p>
<h2>悪いパスワード習慣</h2>
<p>それに直面しましょう、ほとんどのユーザーはひどいパスワードを作成する傾向があり、めったにそれらを変更することはありません. 今日、毎日必要なすべてのシステム、デバイス、アカウントには独自のパスワード作成ルールがあり、すべてのアクセスキーを追跡することは困難になっています（おそらく不可能）. パスワードを書き留めたり、すべてのシステムに対して同じものを再利用したり、覚えやすい単語やフレーズを使用したり、より短いアクセスキーを作成したりすることは、パスワードの過負荷の直接的な結果である問題です。. 覚えていないキーワードが多すぎると、人々はしばしば安全性の低いパスワード、オンライン、オフラインのパスワードを選択します。.</p>
<p>弱くて不安定なパスワードはセキュリティ上の懸念であり、ターゲットユーザーだけ以上に影響を与える可能性のある違反へのゲートウェイです. 他の人（侵入者または詐欺師）が推測、クラック、またはハッキングするために、覚えやすいことと困難であることの間に適切なバランスをとるキーを作成することが重要です.</p>
<p>選択の不十分なパスワードに関連するソフトウェアエンジニアリング研究所（SEI）のCERT部門に報告されたセキュリティインシデントのうち、大きな割合はヒューマンエラーによって引き起こされます. 「セキュリティは最も弱いリンクと同じくらい強力です」というフレーズは、セキュリティチェーン内のユーザーの役割の重要性と、資産とデータを効率的に保護するパスキーを訓練して支援する必要性を強調しています。. パスワードの割れの進化は続き、パスワードが弱いことはハッカーの仕事をさらに簡単にすることしかできません.</p>
<p>I-Sprint InnovationsとEGOV Innovationのレポートである2015年の公共部門情報セキュリティ調査によると、「認証セキュリティの弱いことは、侵害された記録の76％を占めるデータ侵害の主な原因です。.さらに、Enterprise Innovation Studyは、「単純なパスワードベースの認証」は、このすべての貴重なデータを保護する適切な手段ではないことを指摘しています。. 問題は、かなりの数の組織がパスワードベースの認証だけに依存しており、より安全な認証システムを選択していないことです（E.g., PKIベース、OTPベース、またはコンテキストベースの認証、またはバイオメトリック対応識別子）.</p>
<h2>最高のパスワード?</h2>
<p>パスワードの長さと複雑さに関する考慮事項は、理想的なパスワードの探求において重要です. 複雑さはしばしば安全なパスワードの重要な側面と見なされます. アルファナメリックの文字とシンボルのランダムな組み合わせは、直感的に亀裂に対する最良の防御のように思えます. 最も可能性の高い単語の組み合わせを探しているツールのおかげで実行される辞書攻撃は、そのようなパスワードをタイムリーに「推測」することができません. しかし、それらはすべての攻撃に対して本当に効果的ですか? おそらくそうではありません. たとえば、パスフレーズよりも短くなる傾向がある複雑なパスワードは、キーのすべての可能な組み合わせを正しく試すツールを使用したブルートフォース攻撃により、パスワードが短くなると簡単に壊れる可能性があります。可能な組み合わせ. このタイプの攻撃は、何百人もの有名人の個人的な写真を暴露した悪名高いiCloud違反の中心にありました.</p>
<p>ブルートフォース攻撃は、新しいマシンのコンピューティング能力が高く、特定のユーザーが選択した文字の組み合わせの予測可能性が特に効果的になっているおかげで. ランダム数のシーケンスを記憶する複雑さにより、実際には、ユーザーは多くの場合、連続した数と繰り返し（たとえば123、4545）または隣接するキーボードキー（QWERTY、ZXCなど）で作られた予測可能なシーケンスを選択します。. ユーザーは、パスワードを書き留めたり、使用している文字の数を減らすなど、他の多くの危険な動作に従事することもできます。. ユーザーがそのようなパスワードを記憶できる場合、すべてのシステムで一貫して使用する傾向があります.</p>
<p>長いパスワードが行く方法です? おそらく. 長いパスワードは、多くの場合、パスワードエントロピーの増加に関連付けられています。これは基本的に、キーにある不確実性の尺度です. エントロピーの増加は、パスワードの強さに直接比例すると見なされます. したがって、覚えやすい単語やパスフレーズの長いリストは、ランダムな文字のより短いリストよりも実際に安全である可能性があります.</p>
<p>実際の単語で作られた長いパスワードは間違いなく覚えやすく、ユーザーがより安全な方法でそれらを管理するのに役立つ可能性があります. ただし、ユーザーが互いに関連しすぎたり、個人的すぎる単語を選択したりすると、問題が発生する可能性があります。これにより、辞書ベースのパスワードツールのドアが開かれ、可能な量の可能な組み合わせが存在する場合でも正しいシーケンスを推測します. 適切な長さと複雑さのパスワードでも、記憶に残るまたは馴染みのあるもの（家族、ペット、または通りの名前）を使用することは、侵入者による発見にとって非常に脆弱になるため、実用的ではありません.</p>
<h2>したがって、パスワードを安全にするもの?</h2>
<p>興味深いMicrosoft Technetのブログ記事は、式を見てエントロピーのビットを計算する方法（パスワードをハッキングするのがどれほど難しいかの測定値の尺度）を示して、長さの役割が強調されていることを示しています。. 式はlog（c） / log（2） * lで、Cは文字セットのサイズ、パスワードの長さです。数学的な観点から、長さであるLがエントロピービットの計算にどのように主要な役割を果たしているかは明らかです. cは通常、シンボル、上限および上品な文字、および合計96の可能なキャラクター以下の数字を含みます。 、定義された複雑さの要件とは対照的に. この点をさらに進めるために、94の文字セット（すべての可能なASCII文字）と同じ量のエントロピーを達成するために、10の文字セット（数字のみ）を使用してパスワードを使用している場合、2倍のみがあります。パスワードの長さ. 別の言い方をすれば、数字のみで構成されている16文字のパスワードは、94の可能性のある文字で構成される8文字のパスワードと同じレベルの困難なパスワードを提供します.」</p>
<p>ただし、アプローチの組み合わせがよりうまく機能する可能性があるように思えます：長くてかなり複雑なパスワード.</p>
<ul>
<li><strong>長い</strong> – 短い長さのパスワードは比較的簡単に壊れているので、セキュリティを追加するためにより長いものを作成し、予測可能性を低下させることです. したがって、望ましいまたは必要な長さは何ですか? GTRIの研究科学者であるJoshua Davis氏は、2010年のジョージア工科大学研究所（GTRI）の調査では、12文字のランダムパスワードがコードの破損とクラッキングソフトウェアを打ち負かすための最小の長さの要件をどのように満たすことができるかを説明しました。. GTRIの上級研究者であるRichard Boyd氏は次のように述べています。.いずれにせよ、安全な側にいるためには、12文字以上のパスワードの長さを採用する必要があります.</li>
<li><strong>強くて複雑です</strong> – 強力なパスワードがまだ重要です. セキュリティの専門家は、上位および小文字と小文字のアルファナメリックキャラクターは、パスワードの強さを高め、推測やブルートフォース攻撃に抵抗できるようにするための良い実践であることに同意します. 使いやすさを損なうことなく複雑さを追加するために、ユーザーはスペース、句読点、間違いを挿入することでパスフレーズを変更できます.</li>
</ul>
<p>最終的には、パスワードを損なうことができますが、2つのアプローチの組み合わせを使用して、攻撃方法を使用してそれらをクラックするのに必要な時間を増やすことができます.</p>
<p>もちろん、ユーザーはパスワードの強さがすべてではないことも認識する必要があります. たとえば、ブラウザで自動保存機能を使用したり、デスクトップファイルのプレーンテキストでパスワードを保存したりするなどの危険な動作は、最強のパスワードでさえ妥協します. ソーシャルエンジニアリングの戦術の祈りの祈りは、強力でクラックしないパスワードを使用する目的を打ち負かすでしょう.</p>
<p>また、システムがデータへのアクセスを拒否する前に行うことができるパスワードクラッキングの試みの数を制限するためにツールを使用できるシステム管理者によって実装された措置を通じて保護を許可する必要があります. リソースにアクセスするために別のアイデンティティの証明を要求する必要があります。たとえば、ユーザーが持っている、またはそうであることは、パスワードの使用に加えて追加の保護でもあります. さらに、会社では、定期的なパスワード監査はセキュリティ姿勢を強化するのに役立ち、すべてのアクセスパスキーの複雑さと強さが適切であり、ユーザーが弱すぎることが判明した場合、ユーザーは自分のものを変更するように求められています。.</p>
<h2>結論</h2>
<p>パスワードベースの認証は、ユーザーが自分の身元を確認することを要求する最も単純なセキュリティの形式としてしばらくの間存在していました。したがって、彼らはすぐに消えておらず、認証方法における他の安全な代替案を考慮して、ネットワークセキュリティの将来で重要な役割を果たし続ける可能性があります. 言い換えれば、パスワードは弱点にもかかわらず死にません。したがって、人々はパスワードを「より少ない」予測可能にする方法を知る必要があります. 「人間の弱さが最小化または排除される」まで、おそらく「パスワードとの人間の相互作用を削除し、選択と変化を自動化することは、いくつかのレベルでの大きな前進です」とリチャード・ウォルターズGM/VP、アイデンティティとアクセス管理、Intermedia、 Infosecurity Magazineの投稿</p>
<p>ユーザーは、パスワードを侵害する可能性を最小限に抑えるために、複雑さと長さのルール、および基本的なセキュリティプラクティスを適用するよう求められます. 弱いパスワード認証はセキュリティを提供せず、前述のようにいくつかのタイプの攻撃を受けやすいため、パスキーを強化する方法は引き続き調査されています. 一般的に、セキュリティの余分な層がしばしば追加されます. たとえば、2因子認証を結合すると、ユーザーにセキュリティ感覚が向上します。.</p>
<p>多要因認証戦略は、ユーザーを識別および検証するためのより良い方法かもしれません。それにもかかわらず、パスワードが弱い場合、認証システム全体が弱体化しています. したがって、攻撃に抵抗できるパスワードを作成することの重要性はまだ最重要です.</p>
<p>ユーザーの認識は、データ資産を本当に保護できるパスワードを使用することの重要性を伝える上で重要です. もちろん、最も強いパスワードでさえ、ハッカーが余暇にデコードされて使用されるパスワードと認証情報のスコアを収集するだけで、資格情報データベースに対して行われたような攻撃に耐えることはできません。しかし、それは別の問題です.</p>
<h2>オンラインで安全に保ちたい? これは、パスワードの長さです</h2>
<p><img src=”https://blog.1password.com/img/authors/jeffreygoldberg.jpg” alt=”ジェフリー・ゴールドバーグ” /></p>
<p> 2018年10月10日にジェフリーゴールドバーグ</p>
<p>このページをシェアする</p>
<p>オンラインでアカウントを作成すると、通常、パスワードに提案または必要な長さが表示されます. しかし、すべてのウェブサイトやプラットフォームに異なる長さの提案がある場合、パスワードがどれくらいの期間になるべきかを正確に知ることは困難です。.</p>
<p>6文字? 12文字? 24文字? オプションは無限です.</p>
<h2>コンテンツ</h2>
<ul>
<li>パスワードの安全性の基本</li>
<li>ウェブサイトの従来のパスワード要件</li>
<li>パスワードの複雑さはどれほど重要ですか?</li>
<li>パスワードを強くするもの：最小vs最大長</li>
<li>パスワードの強さとエントロピー</li>
<li>パスワードの長さと複雑さ</li>
<li>1PassWordを使用した複雑なパスワードを覚えておいてください</li>
<li>あなたが記憶する必要があるパスワード（およびタイプ）</li>
<li>1PassWordのジェネレーター=強いパスワード長</li>
</ul>
<p>簡単な答えは、1passwordを使用して覚えておく必要のないパスワードを作成する場合、1passwordが提案するものを使用する必要があるということです。. 使用している1Passwordのバージョンに応じて、ブラウザに提案されたパスワードが表示される場合があります。. 代わりに1Passwordのパスワードジェネレーターに移動した場合は、20の長さを選択してください. 覚えておく必要があるパスワードについては、4つの単語で1Passwordワードリストジェネレーターを使用してください.</p>
<p>長い答え? 読み続けて、パスワードが実際にどれくらいの時間であるべきか、そしてオンラインプレゼンスを保護するのに十分なパスワードを強化するものを調べます.</p>
<h2>パスワードの安全性の基本</h2>
<p>まず、自由に使えるさまざまな種類のパスワードを見てみましょう.</p>
<ul>
<li><strong>覚えておく必要があるパスワード.</strong> あなたが心から知る必要があるいくつかのパスワードが常にあります. たとえば、会社のラップトップのパスワード、またはパスワードマネージャーのロックを解除するために必要なパスワード. これらのインスタンスで強力で記憶に残るパスフレーズを使用することをお勧めします.</li>
<li><strong>覚えておく必要のないパスワード.</strong> 1passwordのような安全なパスワードマネージャーを使用している場合、残りのログイン資格情報を覚えておく必要はありません. パスワードマネージャーは、人間が覚えておくには強すぎ、ユニークで、ランダムなパスワードを作成、保存、自動化することにより、あなたのためにハードワークを行います.</li>
</ul>
<p>パスワードジェネレーターを使用して、両方のタイプのパスワードを作成する必要があります. おばあちゃんのペットの名前が資産を保護するのに十分なほど安全であると考えるのは魅力的です. ただし、人間が作成したパスワードは、パスワードクラッキングシステムによって簡単に把握できます. クラッキングソフトウェアを開発および構成する人々は、人間が他の誰よりもパスワードを作成する方法についてより多くを知っています.</p>
<p>したがって、今後は、安全なパスワードジェネレーターを使用していると仮定します.</p>
<h2>ウェブサイトの従来のパスワード要件</h2>
<p>パスワードジェネレーターを使用している場合、Webサイトやその他のサービスが求める要件のほとんどは、適用しないでください. これらのルールは、パスワードマネージャーのサポートなしで、ユーザーが自分で強力なパスワードを作成するように促すように設計されています。.</p>
<p>これらのルールと要件は必要ないことがわかります. 実際、専門家は、最小パスワードの長さ以外の要件を課すことからアドバイスしています. それにもかかわらず、世界中のウェブサイトがポリシーを更新するまで、人々はまだそのような種類のパスワード要件に長い間直面する可能性があります.</p>
<h2>パスワードの複雑さはどれほど重要ですか?</h2>
<p>数字と特殊文字を要求するとパスワードの強さが向上するという一般的な信念があります. しかし、これらの要件の効果は、人間が作成したパスワードと適切に生成されたパスワードで異なります.</p>
<ul>
<li>混合ケースの文字、数字、シンボルを備えた11文字の人間が作ったパスワードは次のようになるかもしれません：letmein!123 .</li>
<li>混合ケース文字のみを使用して1Passwordによって生成された11文字のパスワードは、次のようになる場合があります：lwlxgheawiq .</li>
</ul>
<p>生成されたパスワードは、数字や特殊文字を持っていない場合でも、人間が作成したものよりも推測が非常に難しくなるでしょう.</p>
<p>非論理的に聞こえるかもしれませんが、人間がより良いパスワードを思いつくのに役立つ同じ複雑さの要件は、実際に機械で作成されたパスワードを弱めます. 幸いなことに、機械が作成したものは、複雑さの要件によって行われた害は小さいので始めるのに非常に強いということです。.</p>
<h2>パスワードを強くするもの：最小vs最大長</h2>
<p>ほとんどのWebサイトでは、通常、8〜10文字の最小パスワード長が必要です. 新しいパスワードの作成を任されている場合、多くの人はできるだけ早く、できるだけ速く何かを思いつく傾向があります. 彼らはサインアップし、ログインして、彼らの日に先に進みたいと思っています.</p>
<p>私たちはそれを手に入れます! しかし、ここにキャッチがあります。最小パスワード要件を押すだけで、パスワードをクラックすることに対してより脆弱になります. 特に必要な場合を除き、パスワードが少なくとも11文字の長さであることを確認してください.</p>
<p>したがって、強力なパスワードの例は何ですか? 以下を見てください。</p>
<ul>
<li>cjypatxm3py</li>
<li>zpdgnrggarj</li>
<li>APNWFX7Z3VM</li>
</ul>
<p>これらの例は、適切に生成されたパスワードが常に過剰な量の特殊文字を必要とするとは限らないことを示しています. 1Passwordのパスワードジェネレーターは、必要に応じて数字と記号を含む複雑なパスワードを作成するように設計されています。.</p>
<p>1PassWordのデフォルトで生成されたパスワードの長さは、バージョンに応じて19または20文字です. しかし、それは実際にはやり過ぎです! パスワードが適切に生成されると、11〜15文字が日常のユーザーに十分な保護を提供します. しかし、私たちはほとんどの人がより長いバージョンでより快適で安全だと感じていることを知っています.</p>
<h2>パスワードの強さとエントロピー</h2>
<p>不確実性またはランダム性の尺度として定義されている「エントロピー」という言葉は、パスワードの強さを指します.</p>
<p>さらに進む前に、パスワードを作成するために使用される方法と、それがエントロピーにどのように影響するかについて話す必要があります. 文字、数字、シンボルから11文字のパスワードを生成するスキームがあるとしましょう. 考えられるすべての結果は可能性が高いはずです – それがLetMeinを思いつく可能性が高い場合!123 lwlxgheawiqよりも、エントロピーをフレームワークとして使用することは意味がありません. 一部の一般的なパスワードジェネレーターはパスワードを均一に作成しませんが、1Passwordの安全なパスワードジェネレーターができることを確認しました.</p>
<p>エントロピーはどのように機能しますか?</p>
<p>20ビットのエントロピーを持つパスワードは、19ビットの1つの1つの割れ目の2倍です. 20ビットのパスワードは、21ビットのパスワードのように割れにくい半分です. 20ビットのエントロピーを持つパスワードは、可能な個別のパスワードから2²から均一かつランダムに描画されます. それはわずか100万を超えており、4文字の生成されたパスワードから得られる強度.</p>
<p>パスワードから推測システムは、毎秒数十万の推測を行うことができるため（パスワードが十分にハッシュされている場合）または数千万秒の推測（パスワードが十分にハッシュされていない場合）、20ビットのパスワードはあまりにも弱すぎますほとんどの目的. 混合ケースの文字からのみ描かれた11文字のパスワードには、約65ビットのエントロピーがあります。.</p>
<h2>パスワードの長さと複雑さ</h2>
<p>エントロピーを測定として使用すると、長さと文字の複雑さがパスワードの強さにどのように寄与するかという問題に戻ることができます.</p>
<p>パスワード生成設定の2つのペア（11文字または12文字）と文字のみを必要としましょう.</p>
<table> <tr><th>11文字</th><th>12文字</th><th>16文字</th><th>20文字</th></tr></th><tbody><tr><td>文字のみ</td><td>62.70</td><td>68.41</td><td>91.21</td><td>114.01</td></tr><tr><td>数字が必要です</td><td>65.26</td><td>71.26</td><td>95.18</td><td>119.04</td></tr></tbody></table>
<p>ここでの教訓は、数字を追加すると強度が増加する一方で、パスワードは長さがわずかに増加することにより、より大きな強度の増加を得るということです. 長さを大きくすると、難しいパスワードを作成するための大きな違いが生じます. 経験則として、各ビットは、可能なオプションの数を2倍にすることに対応しています（そして、攻撃者が行う必要がある作業の量を2倍にする）.</p>
<p>これにより、16文字のみのパスワード（91ビット）が12文字（68ビット）の1つよりも800万倍の推測が困難になりますが、数字（71ビット）の12文字のパスワードはクラックが8倍しか難しいです。文字のみのものよりも.</p>
<p>これらのビットのいくつかが翻訳するもののアイデアを提供する例は次のとおりです。. 70ビットのパスワードが十分にハッシュされている場合、 <em>ほぼ確実です</em> 主要政府が割れることができるものの範囲外. ハッシュが不十分な場合は、 <em>そうかもしれない</em> 少なくとも数十万ドルをひび割れの努力に捧げることをいとわない主要政府の力の範囲内にいる. 誰もがその攻撃のラインを選択する状況は想像するのが難しい. 90ビットのパスワードは、最も決定され、リソースのある攻撃者でさえできることの範囲外にあります.</p>
<h2>1PassWordを使用した複雑なパスワードを覚えておいてください</h2>
<p>長いパスワードを覚えるのは難しいです. 多くの長いパスワードを覚えています? うわぁ.</p>
<p>それは1PassWordのような安全なパスワードマネージャーが入ってくるところです. それはあなたのためにあなたの資格情報を生成、覚え、自動化するので、あなたは15〜20文字の意味を覚えることを心配する必要はありません.</p>
<h2>あなたが記憶する必要があるパスワード（およびタイプ）</h2>
<p>これの例外は、1Passwordアカウントにログインするために必要なパスワードのように、覚えておく必要があるパスワードです。. これらの例では、私たちが通常推奨するパスワードのタイプ – ランダムな文字で構成されているもの – は現実的ではありません。. 代わりに、パスフレーズを使用する必要があります。パスフレーズは、「ボールオレンジ – ムーンカーなど、一握りの本物ではないが無関係な言葉を組み合わせて組み合わせる必要があります。.」</p>
<p>4ワードのパスフレーズ（56ビット）は、1passwordにログインするために使用するパスワードに十分な強さです。. 攻撃者に約7,600万ドルの費用がかかると推定しています。.</p>
<p>あなたの秘密の鍵は、パスワードクラッキングが私たちが保持しているデータに対する実行可能な攻撃ではないことを意味します. ただし、アカウントのパスワードとハッシュの強さは、デバイスの1つから盗まれたデータに対するクラッキングの試みに対する防御です.</p>
<p>サイバークリミナルがパスフレーズを割る必要があるのはどれくらいですか? これは、攻撃者が投げることができるリソースに依存するため、時間の代わりに攻撃者にコストの面で話す方が便利です. 4ワード（56ビット）アカウントのパスワードは、攻撃者に約7,600万ドルの費用がかかります。. 政府が4ワードのパスフレーズを割ることができたとしても、彼らはおそらくより安価な攻撃ラインを試すでしょう.</p>
<p>結論：1Passwordアカウントのパスワードは、デジタル防御の重要な部分です. これは1Passwordで保存するすべてを保護するパスワードであるため、良いものを選択することが重要です.</p>
<h2>1Passwordのジェネレーターは、パスワードの長さが強いです</h2>
<p>適切に生成されたパスワードを使用する利点の1つは、それらがどれほど強いかを正確に知ることができることです. 攻撃者が生成方法を正確に知っている場合でも、パスワードは強さを維持します. これは、パスワードを作成するために人々が思いつく巧妙なスキームの多くの反対です.</p>
<p>それはすべて興味深いパラドックスにつながります.</p>
<p>パスワードスキームがより一般的になるほど、より多くの攻撃者がシステムに調整するようにチューニングします. ただし、適切なパスワードジェネレーターは、誰もがそれを使用していても、攻撃者がスキームのすべての詳細を知っていても安全なままです. 私はパスワード作成のアドバイスの「カンティアンの原則」と呼ぶのが好きです：誰もがそれをするならば、それは良いままです.</p>
<p>強くて十分に長いパスワードとパスフレーズで身を守る準備ができています? 1Passwordパスワードジェネレーターにアクセスして、開始します.</p>
<p><em>編集者注：この記事は、2021年12月6日に最後に更新されました.</em></p>
<p><img src=”https://blog.1password.com/img/authors/jeffreygoldberg.jpg” alt=”ジェフリー・ゴールドバーグ” /></p>
<h3>14日間無料でサインアップしてください!</h3>
<p>ユニークで安全なパスワードを生成するヘルプが必要です? パスワードを安全に保ち、1Passwordアカウントにサインアップすることで情報を安全に保ちます. あなたの最初の14日間は無料です!</p>
<p>主要なセキュリティアーキテクト</p>
<p> <img src=”https://blog.1password.com/img/authors/flag-worldwide.png” alt=”ジェフリー・ゴールドバーグ – 主要なセキュリティアーキテクト” /> <img src=”https://blog.1password.com/img/authors/jeffreygoldberg.jpg” alt=”ジェフリー・ゴールドバーグ – 主要なセキュリティアーキテクト” /></p>
<h4>この投稿についてツイートします</h4>
<h4>読み続けて</h4>
<p><img src=”https://blog.1password.com/articles/family-organizer-tips/header.png” alt=”あなたの1passwordファミリーの世話をする – 家族の主催者のためのヒント” /></p>
<h3>あなたの1passwordファミリーの世話をする – 家族の主催者のためのヒント</h3>
<h4>ヒントとアドバイス</h4>
<p>オリバー・ハスラムによる2018年10月23日</p>
<p><img src=”https://blog.1password.com/articles/brute-force-protect/header.png” alt=”ブルートフォース攻撃とは何ですか？それがどのように機能するか、そしてあなた自身を保護するためのヒント” /></p>
<h3>ブルートフォース攻撃とは何ですか? それがどのように機能するか、そしてあなた自身を保護するためのヒント</h3>
<h4>ヒントとアドバイス</h4>
<h4>安全</h4>
<p>オリバー・ハスラム著2018年10月2日</p>
<h2>パスワードセキュリティ：より長いまたは複雑?</h2>
<p><img src=”https://vaultone.com/wp-content/uploads/2020/02/imagem-post13-28fev20-seguranca-de-senhas.jpg” /></p>
<p>パスワードは本質的に不安定であるため、あなたの会社はそれらを作成することについて節約する必要があります . ハッカーにとっては簡単なパスワードが簡単すぎるので、彼らは基本を超えて見る必要があります.</p>
<p>スタッフは、強力なパスワードを作成し、頻繁に変更し、文字を混ぜることを知っているかもしれません. 彼らはログイン資格情報を他の従業員と共有しないことを知っているかもしれません.</p>
<p>ただし、重要なビジネス情報がクラウドに保存されている傾向があるため、すべてのログインとパスワードがデジタルセキュリティの弱点になる可能性のある知的財産の制御を失っています. 多くの従業員が同じログイン資格情報を使用する必要がある場合があります。これは、発生するのを待っているセキュリティ侵害です.</p>
<h2>目次</h2>
<p><img src=”https://vaultone.com/wp-content/uploads/2021/02/CTA2-website-iamxpam-en.jpg” /></p>
<h2>パスワード：サイズxの複雑さ</h2>
<p>文字、数字、シンボルのランダムな組み合わせがあなたのビジネスを保護すると思うなら、あなたは間違っているでしょう. 数字や文字が散在していても、パスワードが短い場合、ブルートフォースで会社のコンピューターにアクセスすることは数分かかることがあります.</p>
<p>最近ではあなたの会社のパスワードには単なる複雑さ以上のものが必要です. 彼らには長さが必要です . ハッカーがブルートフォースを使用してデジタルライフにハッキングする傾向があるため、長いパスワードは常に短いパスワードよりも安全です. いつも.</p>
<p>ただし、HSJK $ DBAV＃YGWU％E782％などの従業員に長い複雑なパスワードを発行すると、ハッカーを締め出すだけでなく、ユーザーが忘れられる可能性が高いでしょう。. 上記のパスワードを覚えていることは、メモリのゲームのようなもので、何千ものカードが下がっていて、ユーザーがどこから起動するかわからない.</p>
<h2>パスワード：パスワード作成のための2ポイントの注意</h2>
<p>パスワードを作成するときに覚えておくべきことが2つあります。コンピューターが解読するのはどれほど簡単か、ユーザーがリコールするのはどれほど簡単か?</p>
<p>良いニュースは、上記のような長い複雑なパスワードを作成する必要がないということです. PassPhraseまたはパスワードマネージャーを使用することは、会社のログイン資格情報を管理および保護するための2つの簡単な方法です.</p>
<h2>パスワードに長さを追加する方法</h2>
<h3>パスワードとしてフレーズを使用します</h3>
<p>パスフレーズは、各ユーザーに思い出に残る一意のパスワードを形成するために融合した単語の束です. 簡単な例として、1人の従業員が「私の素晴らしいおばあちゃんはススと呼ばれています.」</p>
<p>明らかに単語がより関係のないほど、辞書ベースのパスワードツールがクラックするのは難しくなりますが、上記のような単純な文でさえ、短い複雑なパスワードよりも強いです.</p>
<p>c0mput4r％を長いパスフレーズと比較しましょう。. 2番目の例は比較して単純に見えるかもしれませんが、推測が簡単に思えるかもしれませんが、実際にはもっと多くの文字があるので難しいです. その間、ユーザーが覚えているのははるかに簡単です.</p>
<p><img src=”https://vaultone.com/wp-content/uploads/2021/02/CTA4-website-demo-en.jpg” /></p>
<h3>考えてみてください、それはあなたがパスワードについて知っていると思ったすべてに反しますか?</h3>
<p>ちょっと待ってください、これはあなたがパスワードについて知っていると思ったすべてに反しますか? あなたは複雑さがセキュリティをもたらすと思った、そしてそのパスワードはあまりにも単純だと思う.</p>
<p>それを分解しましょう.</p>
<p>Susuは一般的な英語の単語ではないため、パスワードをクラックするのが難しくなり、デフォルトでより安全になります. 長いパスワードは、それが意味のない簡単な単語のリストであっても、ランダムなシンボル、数字、文字を使用した短い複雑なパスワードよりも実際に安全です.</p>
<h3>パスワード：長さ +複雑さ</h3>
<p>あなたはいつでもあなたのパスワードをより安全にすることができます. 複雑さの勝利と組み合わせた長さ. 単純なパスフレーズは、上限と小文字、シンボル、間違いのある単語を使用することでさらに強化できます.</p>
<p>たとえば、「私のwasum ! gr4nはsusu &rsquo;と呼ばれています、今では非常に強力なパスワードになりました.</p>
<p>キャラクターを追加することで、パスフレーズはそれを非常に複雑にすることなく、ひび割れがさらに難しくなり、覚えておくのが難しくなります. ハッカーが使用する辞書ベースのツールは、誤って綴られた単語を検出することに精通していないため、パスワードのセキュリティを強化するための簡単な方法は、誤った英語の単語を使用することです.</p>
<p>優れたパスワード/パスフレーズには以下が含まれています。</p>
<p> – シンボルと数字.- 大文字と小文字.</p>
<h3>パスワードマネージャーを使用します</h3>
<p>パスワードは盗まれて忘れられます. 彼らは、彼らの意図に関係なく、それらを使用する人々にアクセスを与え、ファイアウォールなどの他のセキュリティシステムをバイパスすることもできます. パスワードは、あらゆる用途で積極的に管理したり強化されたりする必要があります.</p>
<p>パスワードはデフォルトでは不安定であるため、それらに対処してデジタルセキュリティを危険にさらす必要が少ないほど、.</p>
<p>パスワードマネージャーは、会社のパスワードとユーザーの資格情報を保存および整理するソフトウェアです. パスワードは暗号化されて保存され、通常、データベース全体にアクセスするために1つのマスターキーが必要です. パスワードマネージャーは、ユーザーパスワードを自動的に生成および更新することもでき、方程式から人為的エラーを取得することもできます.</p>
<h3>要するに</h3>
<p>次のようなプラットフォームを使用します <strong>Vaultone</strong> あなたの会社の所有者であり知的財産であるあなたは、特権アカウントがどのようにアクセスおよび管理されるかを決定することを可能にします. また、セキュリティを完全に制御できるようになります. あなたは、実際にパスワードを目撃することなく、あなたのビジネスの特定の部分にVaultOneを介してユーザーにアクセスできるようにすることができます.</p>
<p>要約すると、より短いパスワードの割れが簡単です. したがって、パスワードを完全に使用できないほど、パスワードをより長く複雑にすることができれば、より良い. スペース、シンボル、スペルミス、および大文字の文字をフレーズに追加することは、曲がりくねったメモリの問題をめぐる素晴らしい方法です.</p>
<p>ただし、デジタルプロパティのセキュリティを保証する最良の方法は、パスワードマネージャーを使用して、方程式からヒューマンエラーを取り出すことです.</p>
<p><strong>会社のセキュリティを改善する方法をご覧ください。今日のVaultoneの専門家に相談してください.</strong> </p>
<h2>パスワードでは、サイズが重要です!</h2>
<p><img src=”https://security.georgetown.edu/wp-content/uploads/sites/294/2020/09/passwordimage.png” /></p>
<p>センターフォーインターネットセキュリティ（CIS）によると, <strong>長さ</strong> 良いパスワードの最も重要な側面です.</p>
<p>あるパスワード <strong>それ以上の8</strong> 文字は統計的にです <strong>推測が難しい</strong> 短いものよりも.</p>
<p>あなたに馴染みのある単語ではなく、パスフレーズにランダムな単語を使用することは、さらに良い練習です.</p>
<p>洗練されたハッキン​​グツールは、短いパスワードをより少ない場合にクラックする可能性があります <strong>3マイクロ秒より</strong>!</p>
<p>英国の国立サイバーセキュリティセンターのこの記事で複数のランダムな単語を使用することの重要性について詳しく読む.</p>
<p><img src=”https://security.georgetown.edu/wp-content/uploads/sites/294/2020/09/shortpw.png” alt=”8文字のパスワードをクラックするのに3マイクロ秒かかる可能性があることを示すパスワードチェッカー” width=”544″ height=”226″ /> <img src=”https://security.georgetown.edu/wp-content/uploads/sites/294/2020/09/longpw.png” alt=”16〜20文字のパスワードをクラックするのに2億年かかることがあることを示すパスワードチェッカー” width=”550″ height=”244″ /></p>
<p>ランダムに生成された単語グループまたはフレーズは、クラッキングツールや情報マイニングにより耐性があります.</p>
<blockquote><p>LastPassによると、ハッキング関連の80％以上 <strong>違反は、パスワードが弱いまたは盗まれたためです.</strong></p> www.ラストパス.com</blockquote>
<p><strong>あなたが知る必要があること</strong>： <strong>最良の方法</strong> 強力なパスワードを生成することは、単語とシンボルの真にランダムな長い組み合わせを作成して、予測不可能な文字列を形成することです.</p>
<p>大学情報セキュリティオフィス</p>
<p>大学情報サービス</p>
<h2>パスワード101：それらがどのようにハッキングされ、なぜより長いのか</h2>
<p><img src=”https://www.relativity.com/relativity/cache/file/D618DA95-86F4-43A1-995940CA896C3931.png” /></p>
<p>私たちのようなセキュリティチームは、パスワードに関してよくある誤解に遭遇することがよくあります. 最悪の事態は、誤った謙虚さの感覚です.</p>
<p>あまりにも多くの人が、悪意のある人がそれらを個別にターゲットにするとは信じていないため、複雑なパスワードを作成して覚えることは努力する価値があるとは信じていません. 「なぜ彼らは私のアカウントを追いかけようとするのでしょうか?” 彼らが聞く. 「彼らが私を個人的にターゲットにする方法はありません.」</p>
<p>一度だけ邪魔にならないようにしましょう：それはについてではありません <em>あなた</em>. アクセスを獲得することです.</p>
<p>彼らがそうするために彼らの努力であなたのユーザー名に出くわしたなら、なぜ彼らはあなたのパスワードでいくつかの推測を試していないのでしょうか? デフォルトから変更したか、最も一般的に使用されるパスワードの1つにしたかどうかを確認してみませんか?</p>
<p>簡単に言えば、攻撃者はそうしません <em>必要</em> あなたを個人的に標的にするために. 多くの場合、彼らは彼らがなんとかアクセスできたデータベースからできるすべてのパスワードをプルしました. あなたはニュースでそのような漏れをたくさん見てきました. あるいは、彼らはあなたのネットワークに座って、ネットワークトラフィックからランダムなパスワードハッシュを収集している可能性があります. それらを手に持って、彼らは自分でパスワードをクラックする必要があります.</p>
<p>これは、より複雑なパスワードを持っていると、悪い俳優の努力を阻止するのに役立ちます.</p>
<h2>パスワードハッシュの理解</h2>
<p>ほとんどの場合、攻撃者はパスワードのハッシュを手に入れており、パスワードはプレーンで読みやすいテキストではありません. それで、それは何を意味し、どのようにしてハッシュを活用してデータを保護できますか?</p>
<p>パスワードハッシュは、パスワードを取得し、ハッシュアルゴリズムとして知られる多くの利用可能な数学アルゴリズムのいずれかを通過した結果です。. そのプロセスの結果はaです <em>一見</em> ランダムな文字列 – ハッシュと呼ばれるもの.</p>
<p>ハッシュの目的は、パスワードを保存するための安全な方法を提供することです. パスワードをプレーンテキストに保存したくありません。もしそうなら、データベースにアクセスできる人は誰のパスワードを読むことができるからです. ただし、ハッシュを考えると、元のパスワードが何であるかを知ることはできません. それは（理論的には、どのアルゴリズムが選択されているかによって異なります）パスワードを取り、それを逆にして元のパスワードを発表することは不可能です.</p>
<p>例はどうですか?</p>
<p>私のパスワードは「test1234」だとします – それは非常に弱いのでそれを決して使用しませんが、明らかに. ハッシュアルゴリズム（正確にはMD5）にパスワードを配置すると、結果のハッシュは「16D7A4FCA7442DDA3AD93C9A726597E4です。.」ハッシュはデータベースに保存されるものです.</p>
<p>さて、「16D7A4FCA7442DDA3AD93C9A726597E4」を誰かに与えた場合、アルゴリズムを介してそれを逆にすることが不可能であるため、私のパスワードが「TEST1234」であるとは知らないでしょう。.</p>
<p>パスワードの1つの文字を「test1234」に変更した場合に何が起こるかを見てください。結果のハッシュは「2C9341CA4CF3D87B9E4EB905D6A3EC45です。.」これらは、元のパスワードが非常に似ていても、完全に異なる、一見ランダムな文字の文字列です。. これはいい.</p>
<p>それでは、悪者はどのようにパスワードを非常に簡単にクラックし、複雑さはそれと何の関係があるのか?</p>
<p>パスワードのハッシュについてのことは、同じパスワードが同じアルゴリズムを介して実行されている場合、ハッシュは決して変更されないということです. 「test1234」を服用してmd5アルゴリズムを介して配置するたびに、「16D7A4FCA7442DDA3AD93C9A726597E4」になります。.「ハッシュ、「16D7A4FCA7442DDA3AD93C9A726597E4」というハッシュが悪者をどのように知っていますか」は、「test1234」のパスワードを示しています。? パスワードクラッカーを入力します.</p>
<h2>パスワードクラッカーの理解</h2>
<p>パスワードクラッカーが独自のパスワードを作成し、ハッシュアルゴリズムを介してそれらを配置し、結果のハッシュをキャプチャされたユーザーのハッシュと比較します. 通常、クラッカーは辞書にある単語をパスワードのベースとして使用しています. これが、一般的な単語（「spring19」や「test1234」など）を使用するパスワードがかなり簡単に割れている理由です.</p>
<p>パスワードクラッカーはまた、ハッカーが与えるルールセットに基づいて、文字のさまざまな組み合わせを実行しています. ルールセットは、パスワードクラッカーが文字を操作してパスワードを作成する方法です.</p>
<p>たとえば、クラッカーは「a」を「@」、「e」に「3」に変更し、すべての文字を大文字にして、その最後に数字を追加するなどを試みます。. これらはユーザーの間で一般的な言語の「トリック」であるため、ハッカーは彼らに試してみることを知っています.</p>
<p>「test1234」に戻ると、パスワードクラッカーは独自のパスワードを迅速に作成し、「test1234」に到達しますが、結果のハッシュ – 「2C9341CA4CF3D87B9E4EB905D6A3EC45」は「16D7A4FCA7442DA3AD9726597265972659726592659265926592659265926592659265926592659265926592659265926592659265926592659265926592659265926592652.」その後、「test1234」を試み、それをハッシュし、これを見ます <em>は</em> 盗まれたハッシュと同じです. パスワードクラッカーは、ハッカーに「test1234」が一致するハッシュをもたらしたことを通知します.</p>
<p>これは、ハッシュが取得されたときにパスワードの発見方法です. パスワードクラッカーは非常に迅速に（ほとんどの場合、数十億回、ほとんどの場合）独自のパスワードを作成し、ハッシュアルゴリズムを通過し、結果のハッシュがユーザーのものと一致するかどうかを確認します. ハッカーは仕事をしていません。コンピュータープログラムはです.</p>
<h2>より長いパスワードの値</h2>
<p>それがパスワードの割れ目ですが、それがすべてランダムでコンピューター化されている場合、より複雑なパスワードの作成が重要なのはなぜですか?</p>
<p>それに答えるために、ここに質問の背後にある統計を強調する漫画があります（以下に埋め込まれています）.</p>
<p> <img src=”https://imgs.xkcd.com/comics/password_strength.png” /></p>
<p>ご覧のとおり、パスワードが強くなることに関しては、長さはあなたの友人です. パスワードが長くなればなるほど、クラックするのに時間がかかります. パスワードクラッカーが正しいパスワードを推測するためにより多くの文字を入力する場合、それを正しくする可能性が指数関数的に少なくなります.</p>
<p>言い換えれば、あなたが持っているなら、あなたはたくさんの派手な特殊文字を持つ複雑なパスワードを必要としません <em>長さ</em> パスワード.</p>
<p>多くの組織（相対性を含む）は、複雑なパスワードを要求し、 <em>パスフレーズ</em> 代わりに、最低20文字を設定します. これにより、ユーザーは、いくつかの特殊文字や数字が投げ込まれた単語の代わりに、文またはフレーズ全体を思いつくことが奨励されます。. 繰り返しますが、長さはエントロピーを増加させ、未知のものを増加させるため、推測するのが難しい.</p>
<p>一言のパスワードを維持したい頑固なユーザーのために、ここにアドバイスがあります：最初に数字と特殊文字を入れて、中央, <em>と</em> パスワードの終了. これは長さを増やすのに役立ち、したがって、その複雑さとそれを割ることに伴う困難を増加させます. 別のオプションは、それらの数字と特殊文字を入力することです.</p>
<p>パスワードが「spring19!」「SpringnineteenExclamationPoint」に変更することで複雑さを追加できます.」私たちは、数分で割れている可能性が高いパスワードを取得しました（早くない場合）。. それがあなたを許すならば、あなたは各単語の間にスペースを追加することもできます. または、さらに良いことに、各単語の間に別のキャラクターを追加します。.」今、それはしっかりしたパスワードであり、覚えておくのに十分簡単です.</p>
<p>良いパスワードの練習は、データを安全に保つために不可欠です。今日の風景では、悪い俳優がハッシュにアクセスしやすくなる可能性があるため、考えたいよりも簡単になる可能性があるため. 一部の環境では、あなたのネットワークに適切なアクセスを持つ人 – 許可またはその他の人は、オンラインになってから最初の10分以内にパスワードハッシュにアクセスできる場合があります. ここで説明した弱いパスワードをクラックするのにかかる時間を追加します。つまり、ログインを開始するために有効な資格情報があるまでに15分未満かかる可能性があることを意味します。.</p>
<p>その脆弱性を利用して、組織のすべてのデータグッズにアクセスできるようにするのを防ぐのはあなたに任されています.</p>
<p>CJ WiemerはRelativityのセキュリティチームのマネージャー、Calder7. 彼は何年も企業へのハッキングと彼らに何を修正すべきかを伝えてきましたが、なぜ彼はパスワードの強さにとても情熱を持っているのか分かりません.</p>