2009/07/14 強いWebパスワードはそれほど必要ではない? シュナイアーがブログ Schneier on Security でHotSec '07での論文 "Do Strong Web Passwords Accomplish Anything?" を話題にしている。論文では、ユーザに与えられる伝統的なパスワード情報は時代遅れであることが分かったとのこと。強いパスワードはフィッシング詐欺やキーロギングなどを使ったパスワードを盗む攻撃からユーザを保護することはできない上に、ユーザにはかなりの負担が掛かってしまう。もちろん、弱過ぎるパスワードはブルートフォース攻撃で破られてしまう。しかしながら、比較的弱いパスワード(約20ビット)がスリーストライクのルール (例えば3回間違えるとアカウントがロックする)がある限り、一つのアカウントに対してブルートフォース攻撃で破るのは非現実であることが