パスワードの最適変更間隔とその定量的効果の評価

パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする（本攻撃方法は決して典型的な攻撃方法とは限りません）。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える（ユーザは個のパスワード候補からランダムにパスワードを選択するものとする）。また、簡単のために、

[lyiase]

パスワードの複雑性によって定期更新頻度を変えれば良いんじゃ無いかと思った。そうすれば利用者も更新要求頻度が高い簡単なパスワードより、それなりに複雑で更新要求頻度が低いパスワードを選ぶだろうし。

[KoshianX]

10万語の辞書から2語を組み合わせただけでも10秒間隔攻撃で1585年かかるのか。特定のアドレスから3回連続認証失敗したら30秒受け付けないとかにするくらいでいいのかな。

[mkusunok]

非常にいい論考。サイト別でそれなりに複雑なパスワードを設定すれば定期的に変更しなくても問題ない。但しこれはハッシュが漏洩していない前提でイントラでNTLMハッシュとか抜かれた場合は？

[blueboy]

　「10秒間隔」なんていうのを許容せずに、「同一アカウントに対するパスワード入力失敗は１日10回まで」みたいに制限すれば、問題は解決する。攻撃を許すサイトがおかしい。／一般的には、無意味な英数字 10桁でOK。

[khtokage]

オチで不覚にもｗｗｗ　結局、iOSみたいに失敗時に時間のペナルティを科すのが一番のような気がする。あと桁数増やす。あと使い回し一発はヤバいので1文字だけ変化させる。 パスワードの最適変更間隔とその定量的効果

[wisboot]

1万日かー、多分Webサイト自体がサービス提供終了してる可能性の方が高いよなーw／やっぱ定期変更よりパスワード使い回しの方が圧倒的にリスク高いよな

[szks]

最強なのはパスワード変更周期が攻撃周期と同じか短い時でこれは攻撃の度に1÷パスワード空間のくじ引きをやるのと同じ。それより後にピークがあるってのは何か間違ってるんだと思う

[vanbraam]

via b:id:entry:240943119;"たかだか効果は2倍であるため、パスワード長を1文字長くするよりもパスワード定期変更の効果ははるかに小さい"<これ.個人的には長いパスワード+再攻撃防止(3回失敗でロック)で十分と思う

[localnavi]

クラック対策には「頻繁にパスワードを変更する」よりもはるかに「文字数を長くする」方が有効という結論。十分に長くすると16日間隔でも27年間隔でも安全度が変わらんとかｗ

[Rinta]

いくつかの前提を置いて計算しているけど、その前提の正しさは評価しないといけないな。にしても、一つの評価はでてきたわけだ。定期変更よりも、複雑なものを使いまわさずに使うのが一番費用対効果が高い。

[p260-2001fp]

ブコメ参照

[gallu]

物凄い皮肉だｗ

[nilnil]

(未評価)

[ardarim]

オーダー全く変わらないというね。ま、定期更新教の人達は原理主義だから理詰めしても通じないだろうけど。

[masutaka26]

"たかだか効果は2倍であるため、パスワード長を1文字長くするよりもパスワード定期変更の効果ははるかに小さいといえる。"

[mohri]

なるほどわからん

[itochan]

「10万語の辞書から2語」とは数字10桁と同じこと。　／　数式はよくわかってない

[moccos_info]

縦軸絶対値が重要であるグラフが原点非ゼロなのが気になる。原点0にして、変更しない場合の値で赤線ぐいっと引きたい…

[sho]

みんな直感的にわかってたことを定量的に評価をするのは大事だなー。数式の部分は理解することを脳が拒絶してるけどw

[t-wada]

“たかだか効果は2倍であるため、パスワード長を1文字長くするよりもパスワード定期変更の効果ははるかに小さいといえる”

[myrmecoleon]

4桁数字のパスワードで10秒に1回攻撃できる場合、23.5分間隔でパスワードを変更することで、パスワードが分かるのに変更しない場合の平均13.9時間の倍の平均27.4時間までかけさせることができるらしい。うん笑った。

[Haaaa_N]

へー,一応変わりはするんだ

[isidai]

最高！ / パスワードの最適変更間隔とその定量的効果の評価 -

[sawat]

最適な間隔でパスワードを変更することでパスワードが判明するまでの時間の期待値を2倍にできるが、高々2倍なのでパスワードを1文字長くする方がよっぽど効果的と

[hariopip]

有益なエントリ。短いパスワードが悪。

[hidea]

評価式の妥当性は正直よくわからないけど「（なにかおかしい）」で噴いた。実際に行われることが多いリスト型アタックとパスワード変更の効果評価も求む。

[toresebu]

定期的に変えるより長くしたほうが効果があると。: パスワードの最適変更間隔とその定量的効果の評価 -

[kazoo_oo]

「平均13.9時間で攻撃者にパスワードがわかる」ANA は長らくこの状態だったんだなぁ。

[ghostbass]

つまりパスワード変更するならログインごとに変更しろってことか

[kalmalogy]

"1万日（約27年）間隔で変更しても、それほど定期変更の効果は変わらないので、変更する気持ちさえあれば効果があるともいえる"

[smbd]

辞書から2単語引っ張ってきて組み合わせりゃ十分なのか。へー