結局パスワードは13桁発言って何が問題なんだ?
■ このスレッドは過去ログ倉庫に格納されています
パスワードが13桁だとわかっても探索の手間はほとんど変わらないが パスワードのヒントを答えるのがセキュリティリテラシーがないことをろていしてるから 馬鹿が騒いでるだけ
桁数がわかったところで計算量の削減率なんてせいぜい12/13かそれ以下 13桁と特定→わりと重大
13桁未満であることを特定→そこそこ重大
14桁以上でないことを特定→めちゃくちゃ重大 とりあえず12桁までの総当たりはしなくていいとわかって、破られるまでの時間を短縮できるから問題なんじゃない? 13桁と分かれば1〜12桁は探す必要ないってことか 1~12桁 13桁以上しなくてよいので総当たり攻撃か楽になる
類推攻撃が容易になる >>11
大文字含まない英数字だとしても12桁総当たりは13桁総当たりの1/36しかかからないけど >>9
14桁以上でないことを特定はあまり重大じゃなくない?
総当たりなら少ない桁からやるだろうし >>14
14桁以上の可能性も無くなるのはデカくないか? 一番の問題は桁数じゃなくて9字単語+数字4桁って言ったことだからな モンスターハンターやったことある奴ならわかると思うがG級のモンスター狩る時にいくら削っても終わりが見えないと絶望する
終わりが見えたら…後はわかるよな? >>16
14桁やるのは13桁終わってからだろうから
どっちでも変わらんだろ 素人が拾っても突破できちゃうようなことを会見でつらつら言っちゃうこと >>14
あれ、大文字を含まない英数字っところまで知られちゃってるんだっけ? 13桁が探せる量なら1~50桁も探せる量
13桁でも探せないならどの道探せない
13桁という情報に騒ぐほどよ価値はない リポーター「数字4文字などの簡易なパスワードでは?」
課長「そんなことはない。英数字13桁だ」
リポーター「でも、ランダムな組み合わせでは平時の運営に支障をきたすのでは?」
課長「意味のある英単語の後に意味のある数字4字を続けているので、運用者は覚えやすい」
リポーター「英単語とは例えば"Password"などか?」
課長「安直な単語ではない。尼崎市としてちゃんと意味のある単語と数字だ」
リポーター「大文字は使っているか?」
課長「ちゃんと始めだけ大文字にして文法的にも正しい」 >>27
これ本気で信じてる奴の方がよっぽどリテラシー足りない 以下リテラシーない馬鹿がハイスペックマシンでの総当たり時間を議論始めるスレ パスワードが割れるのって
いっくらデータを暗号化したって意味ないよね
USB紛失するより
パスワードバレたほうがお粗末 1番の問題は類推しやすい安直なパスワードに設定していたかどうか
そうでないなら見つけられないしそうだとしたら見つけることが可能 ほんとだ
まともなニュースサイトは意味のある単語とか書いてないな
騙されるところだったわ ターゲットが明確だとモチベーションが続いちゃうだろ 意味のある文字列だとしたら大ヒントになるから
まあ叩かれる隙にはなってるよね
ランダムならほぼ無意味だと俺も思うけど まぁハードウェア暗号化してるUSBメモリなら安全なんじゃね 量子PCが出来たら全部無駄ですけどねぇ
512ビット暗号ですら鼻くそだし 大事なUSBはGPSとWi-Fi付きでいいよね
オンラインじゃないとパスワードが解除されないとかさ 大文字とか小文字とか色々入れててランダムなら助かるだろたぶん >>36
リテラシーのあるニュースサイトはぼかしてる 辞書攻撃を簡単にするとか言う人もいるけど13桁発言を信じ切るのも危険だよね
もし13桁じゃなかったら実はどんなに簡単な文字列だとしても総当たり終わるまで気づかないわけだし >>35
これ
13桁に限定しても総当たり攻撃は現実的じゃないからランダム生成なら何の問題もない
とはいえ桁数バラすべきじゃないけど >>45
リテラシーというかネットの話題まとめたサイトくらいしか書いてないな
お前はどこから情報得たの >>46
大概 辞書攻撃→総当たり でやるから変わらん >>46
辞書なんてないからブルートでやるだけだろ その辺の市販USBメモリってパスワード1秒に何回くらい入力できる仕組みなの? 13桁だと知っていようがどうだろうが類推可能なパスワードなら探そうと思えば探せるしそうでないなら探せない
桁数を与えた程度で流出のリスクが大幅に上がるわけではない
馬鹿が馬鹿騒してるだけ
重要なのは類推可能なパスワードに設定してるかどうかだけ 桁数もそうだけど使用してる文字数がどれくらいかわかるかがキモだったりする >>58
プロならコピーたくさん作って一斉に作業するだろけどね 13桁の時点で1台のPCで数十万年くらいかかるんじゃないの どんな暗号化とかって公開はされてないのか
暗号化機能付きとかだったら試行回数決まってそうだから安心そうなのに >>62
無理
セキュリティチップを専門機器で解析しないといけない
そういう話ならそもそも総当たりや類推攻撃なんていらない USB持って泥酔するようなとこが総当たり演算しないと解けないようなランダムなパスかけるわけねえ というか日本ってせっかく日本語使ってんだから、日本語パスワード使えるようにしちゃえばいいのに 最近愉快犯ハッカー減ってるけど今回の事件で尼崎市役所が標的になる可能性あるからセキリティー強化しといた方がよさそう パスワードに企業名、部署名、担当者名使ってるやつなんていないよな? >>74
うちは1qaz2wsxってやつにしてるから大丈夫 >>76
お前らもTwitterの奴らもそれ前提で盛り上がってたから騙されてたわ >>63
個人でやったら足がつくから現実的ではないけどクラウドコンピューティングで仮想PCを何千台と借りて総当たりすれば1日で突破だよ
まあ借りる費用が1000万ドルとか行きそうだけど >>82
どうやってUSBにパスワード入力を試行するの?
1つのUSBに対するI/Oには上限があると思うけど
USBをパスワードかけたまま複製するの? >>70
ファイルを暗号化して保存してるだけのことをUSBにパスワード設定してるって言うか?
そういうことなら普通は暗号化してるというんじゃない? ニュースではUSBは暗号化されてるって書いてあるだけでそれ以外は書いてないな
もっと細かく報じて欲しい
ハードウェア暗号なのか、ファイル暗号化なのか >>84
ハードウェア暗号化かファイルにパスワードかけただけかってわからないし?
いやでもパスワードかかってるから安心って言うにはさすがにハードウェア暗号化なのか >>75
セキュリティーリテラシーの低さで有名になった市だから標的になる可能性があるってだけよ
愉快犯ハッカー側からすりゃハッキングすれば話題にもなるしセキュリティーの重要性を社会に示すみたいな歪んだ正当性も抱かれそうだし 絶対ランサムウェア踏んで身代金払うことになるわ税金でwwwwww >>85
13桁と分かったら総当たりじゃなくて辞書攻撃じゃね
日本語単語と数字記号に限定すればかなり絞り込める >>1
パスワードは100桁だから無理だぞと吹かしとけばよかったんだよ >>99
100桁も13桁も現実的に解除不可能といい意味では一緒だよ 発見されたUSBのパスワードは変更されてなかったとかニュースでやってたしさすがにハードウェア暗号化かなぁ >>95
今回のパターンは色々条件を開示してるから一瞬だろうけどもしランダムな英数字だったらスパコンでも解けないでししょ >>102
色々条件を開示してる←これがデマだって話は知らないんだね このusbって泥酔した人の個人usbなの?
だったらamagasaki2022とかはしないよね >>103
デマじゃなくね
そもそも記者会見で色々言ってたじゃん やらかした人は馬鹿だけど、それを馬鹿にできるだけの最低限のリテラシーを持ってる人が少なすぎて厳しい >>91
持ち出しには市の許可がいるけど勝手に委託業者の協力業者社員が勝手にコピーして持ち出したんで
ファイルに暗号化がかかってるだけ 英数字13桁って言ってんだから記号と13桁以外は試さなくてOKじゃん >>108
通常のパスワードは記号ありの乱数でパスワードマネージャに登録してある >>108
そりゃもうパスワード自動生成ソフトに頼りっぱなしより >>110
君さっきからソース一切提示しないから嫌い >>103
一応英数13桁で暗号化した、は言ってる
やりとりはデマ >>108
Chromeとか使ってれば勝手にパスワード生成してくれる この社員自分で見つけてればインシデント無しで済んだのに
ついてないよな >>118
今Chromeに全部パスワード覚えさせてるよ >>116
英数13桁であることまでしか開示してないなら一瞬では解けないので、>>102は間違いです つかパスワードは乱数が何桁だろうが、頭の中で写真撮れば何十桁でも覚えられるよ。 >>124
USBにかけられてるパスワードって書いてあるけど Cromeとかに覚えさせても知らん奴に触られたら破滅だろうしパソコンにふせん貼ってるのと変わらんな
共用のデバイスなんてまずランダムなのはかけるわけない >>104
https://news.mynavi.jp/article/20220624-2378101/
パスワード解読のヒントになりかねない情報を公開してしまったのだ。記者からの質問に答えるかたちで、つい話してしまったという様子であったが、ネット上では既に会見中からツッコミが殺到。出されたヒントからパスワードを推測する人も続出し、その日のツイッタートレンドに「amagasaki2022」や「英数字13桁」が入ってしまう事態にすらなった。 >>124
ファイルにパスかけただけなんてどこにも書いてないが >>128
はい。ちゃんと調べてください
あとパスワードに記号の有無はあんまり重要ではないです
使える文字を増やすより桁数を増やすほうがセキュリティ的に効果があります(記号あり8桁より記号なし12桁のほうが覚えやすいしパターン数は多い)
パスワードが記号無し13桁であることは全く問題ないです >>130
俺も調べたけどその個人ブログみたいな記事以外なくね? >>127
市に無題でUSBメモリにデータ移し出すような奴がハードウェアごとやるわけ無いじゃん
記者もハードウェアかファイルかなんて気にしないし >>132
そんなことはわかってるよ俺の過去レス見てくれ
記号ありだと辞書型攻撃への対策になるんだが >>134
それはただの予測だしなぁ
まぁ公開されてないからどっちとも言えんが まず今のご時世にUSBメモリでデータを持ち運ぶこと自体無くね?何年前の話だよ >>135
読みました
あなたがこのUSBを手に入れてたらパスワードが一瞬で解かれてて危なかったな~と思いました 13桁より同時に辞書攻撃通りそうなこと言ったことが問題だろ?
13桁そのもの超えるのはまぁ無理だろ >>137
でもネットワークに繋げるのも危なくね? >>69
こんな馬鹿なことしてる組織が乱数で生成したパスワード使ってるわけないだろ! >>27みたいなのはさすがにデマだろうけど
完全ランダムな文字列とは考えにくい
ふつうに想定できるのは日本語に存在する単語に数字や記号を組み合わせたもの >>133
ほんとだ、こっちではランダムで英数記号た
https://www.security-next.com/137547
いずれも同市コールセンターにおいて、データの更新作業を行うために必要となるデータだった。持ち出しに用いたUSBメモリのデータは暗号化されており、アルファベットや数字、記号など用いたランダムの一定文字数でパスワードが設定されているという。 >>140
ネタコピペが俺含めたアホどもに信じられてたわけか
気を付けないとな >>146
ファイル本体は13桁
それと別にUSBは英数記号のランダムパス付きなんかな 中身が暗号化されてるってランサム踏んだってことらしいな 会見でポロッと言っちゃったのはUSBそのもののパスだと思ったけど
観た印象 記号や数字必須みたいなのはよくあるけど
確かに辞書攻撃には強くなるが、単純に最大パターンが制約されるから総当たりにはかなり弱くなる >>154
最大パターンが制約されるってどういう意味 うーん生配信のアーカイブ見てるとUSBのパスワードのくだり見つからねぇんだけど
カットされたらチャット欄消えるはずだし
なんだこれ >>155
13桁全部があらゆる文字OKなら13桁分全てがランダムだけど
数字必須にした時点で1桁は確定で10パターンに減る >>157
どの桁に数字があるのかも数字がいくつあるかもわからないんだから省けるのは「1文字も数字を含まないパターン」だけだぞ >>157
でも強制しなかったらみんな記号なんか入れないから先に英数字だけで探索するやん
各桁ごとに記号も探索する必要があると分かってたら探索量が急増すふ >>157
下二桁分くらいだぞ
その総当たり数減らすより記号数字を混ぜさせたほうがパターン増えるから >>161
今のコンピュータはzipの場合だと家庭用のGPUでもたったの1台で毎秒100億回くらいは試行できるくらいの性能があるんだ
取り得るパターン数は最低でも咳以上とかでなければセキュリティとしては十分には機能しないと見ていい ああ業者の2時間くらいの会見とは別か
一次ソース見つかんねぇな アルファベット大文字小文字と数字で記号無しとして62文字、それが13桁だから200028539268669788905472通りしかない
総当たりで毎秒100億回の超高速で計算した場合最悪でもたった634万年でパスワード解析出来ちゃうんだ 辞書攻撃は桁数決まってると難易度が大幅に下がるからな
総当たりが無理な桁数に対して優先度順に一定のところで区切りをつけて次の桁に進むってことをしないで済む
あとは13桁はブルートフォースにとっては長いが辞書が使える日本語の場合は長くない
ローマ字は2文字で1文字が大半だから全部文字だと6~7桁にしかならない
baとかkoみたいな組み合わせで強力かつ高速な辞書が作れる >>162
英数字13桁パターンから英字13桁パターンを引いたら大体1800垓通りだ
安全でよかったな >>167
入手したい人物によるんじゃね
一般人のなんて1万にもならんだろうけど 以上、リテラシーのない馬鹿によるハイスペックマシンでの総当たり時間の議論スレをお送り致しました。 13桁発言は「それで特定される」って事じゃなくて「職員が特定の材料になる事を公に言っちゃうようなリテラシーの無さ」がヤバいって話なんじゃねえの? >>172
つまんね
お前まだ居たのかよ、レスから漂うぼっち感くそキモイぞ >>173
公開鍵のこと「鍵を公開するなんて有り得ない!」とか思ってそう >>169
1~12桁と1~13桁でどれだけ違うか考えたことはあるか あんま変わんないの「あんま」って人によって程度違うし、これすら注意できないなら他でもっとやばい💩してる可能性あるだろ おじ乳輪くそうざいが総当たりの時間云々が論外なのも事実
DL複合辞書での攻撃とかも全然出てこんし aaa…から始めたとして
amagasakiだから結構前半で突破されるんだよな
頭文字がアルファベット前半の市町村や企業はセキュリティ甘くなるから改名した方が良い 頭で予想できる系のパスワードなら13桁ってのが致命的なヒントになってる
パスワードの当て方は総当たりしかないわけじゃないからね >>166
地球上にコンピュータ何台あると思ってるんだよ
地方自治体だからそこまでやる奴は多分いないが
これが国家機密だったらスパコンまで参戦するレベル
国家機密がここまで雑な管理をされてるとは思いたくないが果たして・・・
>>174
まぁ、普通に考えて大丈夫だとは思うが
万一なんかの手違いでハッシュ値でも取り出せてしまうとまずいだろう 仮に1秒に1000京回ぐらい計算可能なマシンが使えたとしよう
で、そのパスワード管理してるソフトやUSBは1秒に1000京回の試行受け付けてくれるの?
zipのパスワード解析とは訳が違うんだけど >>183
ネットでイキってる自称有識者がそんな区別つくわけないだろ
本質的にUSB大臣とレベルは変わらん ランダムじゃなかったら死ぬだけだろ
他の市で働いてるやつとかがポロッとヒント漏らしてそうだし上手いことやれば破られそう おまえらなぁ
職員による13桁発言。
これはフェイクってなんだよ
犯人に解析を送らせるためのな >>183
…w
自分の過去レスを見直しましょうね。 >>182
神威・太湖之光とか天河一号、二号が全力参戦してくるよな >>184
NGしてるぞ
レス増えた時見えてなかったらわざわざ解除して煽るくらいはする >>182
13桁ってのは世界一のスパコン使っても理論的に不可能な数字だからセキュリティ上推奨されてるんだよ この場合総当たりよりサイドチャネル攻撃のほうがリスクなのか >>182
13桁って128ビットの暗号化とほぼ同等とかじゃないのん 解析勢が総当たりしかしないのなら
ZZZZZZZZZZZZZZZZZZZZとかにすれば絶対破られないんじゃね
手動で打つなら誰かが打ちそうなクソパスワードなのにね
やっぱ人間>AIよ >>195
攻撃者がどういった方法で攻めてくるかわからない以上それはだめだろう
辞書型で一瞬 >>191
>>194
富岳の時点で400PFLOPS超えてて
そんな値に届くのはもう何年もかからないだろう
128bitは2030年くらいが限界と言われている >>197
セキュリティに関しては都度推奨プロトコルに変えていくのが常識
いつか破られるのは前提 >>197
ソフト側が「パスワードの入力受付は1秒に1回が上限ね」ってやるだけで富岳用意しても全部無駄なんだ >>198
人が入力するパスワードの桁を増やすのはもう無理って長さになりつつあるだろ
どこまでも伸ばせて文字種も増やせるならいいけどそんなことはまぁ無理で
セキュリティの最初の入り口をパスワードに頼る考え方自体を置き換える新しい何かが必要にはなるだろうな
>>199
ハッキングしようっていう輩がそんな馬鹿正直なことやらん
その辺のオッサンがパソコン画面でやるんじゃねーんだぞ
ハッシュ値引っこ抜いて最高速で回す方向で動くだろ >>200
そもそもハードウェア側でパスワード掛かってるって話だったし >>200
最近は大手インターネットサービスは大体2要素認証推奨してるよね
2要素認証しないと機能使えないみたいなのも多い
普通にワンタイムパスとかハードウェアキーとか指紋認証をプラスするだけでかなり強固なセキュリティになるはず 市販のUSBメモリにパス付きzipで保存されてるとでも思ってんのか >>204
あの運用の杜撰さを見るとそれやっててもおかしくない 絶対に総当たりしかしないマンって絶対に出てくるよな
なんなの?宗教? 数万件のデータをzipで保存するのは効率悪くね
普通にハードウェア暗号化かファイルシステムで暗号化する >>203
それをやろうとすると何かしらのオンラインのシステムが必要だし
物理的にデータが入ったストレージが悪意のある人間の手元に辿り着いたら外から何か追加の細工ができるわけでもなくどうとでもなってしまうわけで・・・
昔あった時間経過で表示パスワードが変わる液晶付きのワンタイムキーデバイスみたいなのでも持たせるか・・・?
あれ、なんかおかしいな😩 >>209
>>200のレスはUSBについてのセキュリティではなくセキュリティ対策としてパスワードのみを使うのが良くないという主張だと思ってたんだが
そもそもUSBにデータ置いておくのが良くないな
オフラインでなければならないのなら物理的な(Googleやらのデータセンターのような)セキュリティが必要になるね
手軽にオフラインで2要素認証するなら指紋認証+パスワードかな
サイドチャネル攻撃には勝てないけどね >>210
ストレージの側に指紋認証機構もセットのものはいまいち信用ならないんだよなぁ
表面に残った痕跡から復元できる技術があるらしいと聞くし
どんな形で保存してあるか不明だし
単に認証通りましたって1ビットのフラグを決まったアドレスに打ち込むだけで回避できるウンコ仕様だったらもうどうしようもないし
かといって製品採用時点でそんなことまで検証するかボケってなるし
もし生体認証やるならそれはそれで別デバイスに持たせたいな
一緒に持ち歩いたらクソの役にも立たんが >>3
>>7
当初のスレだと
「意味のある9文字の単語と4桁の数字を合わせた13文字だ」と言われてたからヒント出しすぎってバズってた
つかまあ全てがブラフで実は秘密だけど6桁の乱数とかだったりするのが
報道で嘘ヒントを出すっていう周到さが評価されてる流れでしょ
どうせ誰も確認のしようがないから、
あえて悪意のある第三者にパクられていたとして嘘ヒントを大々的に告知したっていうことでしょ 実はブラフだぞ
13桁をずっと模索させる為に言った時間稼ぎ •1から12桁、14桁以上を考慮しなくて良い。
•毎年変えてるとのことなので2022や22が入っている可能性が高く、実質10桁の辞書または総アタックでいける。 でも口座の暗証番号は数字だけの4桁ってバレてるのに問題にならないじゃん
13桁問題も叩くための口実で実際にはなんの問題もないんじゃね システム側で攻撃監視+検知したら即座に口座閉塞+利用者への通知してくれる銀行口座とそこらへんのUSBを一緒にしちゃあかんよ そういうの普通に喋っちゃうやつが担当なのがまずいってだけだろ >>216
口座の暗証番号はオンライン前提でデバイス単体で使うものではないからな
数回間違えたらロックかかるし不審な操作としての記録も残される こういう発表ってなぜか行政が嘘ついてると誰も疑わないよな >>222
「13桁は嘘で本当は〇桁!遠回りさせて解析させないために13桁と言ってる!」みたいな発言結構あるでしょ
少なくともこのスレくらい見よう 政界や行政のセキュリティリテラシーをバカにするのに知識がガバガバな人が多いよな ■ このスレッドは過去ログ倉庫に格納されています