辞書の単語で作られた、覚えやすい長いパスフレーズは本当に安全ですか？

私は最近、すべてのパスワードをより安全なものに変更する面倒なプロセスを経験しました。最近は一般的に推奨されているように、最終製品がデータのランダムな文字列のように見えるまで、記号、数字、大文字、小文字などを含めて16文字の長さにしました。

そして、次のxkcd comicに出くわしました。これは、基本的には数語を連続して使用したほうがよいと言っています。

だから私の質問は、この漫画はどれくらい正しいですか？

はいといいえ。Security.SEでは、このテーマについて多くの議論がありました。ジェフ・ゴールドバーグの回答からの引用から始めましょう：

XKCDコミックが効果的に通信しないのは、単語の選択が（均一に）ランダムでなければならないということです。ランダムに単語を選択するように人間に依頼すると、具体的な名詞に大きなバイアスがかかります。このようなバイアスは悪用される可能性があります。

これはおそらく、XKCDスキームに対する唯一の最も重要なストライキです。人間はランダムなものを思いつくのはひどいです[要出典]。「私は私の素晴らしい犬と猫を愛している」は確かに十分に「長い」が、決して予測不可能ではない。

（余談ですが、ジェフはXKCDスキームは実際にはランドールマンローのオリジナルではないことも指摘しています。

「XKCDに似た」パスワードの全体的な考え方は、少なくとも1980年代初期のS / Keyワンタイムパスワードにまで遡ります。

）

トップ投票答えは、私たちが防御しているかを知る必要があるという事実を私たちに思い出させます：

パスワードに関する一貫したアドバイスがない多くの理由の1つは、すべてが脅威モデリングの問題に帰着することです。正確に何を防御しようとしていますか？

たとえば、パスワードを生成するためのシステムを知っている攻撃者から保護しようとしていますか？または、リークされたデータベースの何百万人ものユーザーの1人ですか？GPUベースのパスワードクラッキングまたは単なる脆弱なWebサーバーから防御していますか？マルウェアに感染したホストにいますか？

攻撃者がパスワードを生成する正確な方法を知っており、単にあなたを標的にしていると想定すべきだと思います。xkcdコミックは、両方の例で、世代のすべての詳細が既知であると想定しています。

この短いリストをご覧ください。このプロファイルに適合する場合、XKCDスキームはおそらく適切です。

1.パスワードは1か所でのみ使用されます。

2.正直な人や脚本家の子供をアカウントから遠ざけたり、データから遠ざけたりするだけです。

3.ええと、本当に3.はありません。

率直に言って、Dicewareを使用して記憶に残るパスワードを生成する意思がない限り、XKCDスキームを気にしないでください。トロイハントは少し前にこれを分析しました。彼がその投稿の終わり近くで言うように、「最良の」パスワードアドバイスは、完全にランダムなパスワードとパスワードマネージャーを使用することです。

したがって、合計で、130のアカウントを追跡しています。これを読んで30個未満のアカウントを持っている人はほとんどいません。たとえ今すぐ頭の外から考えることはできなくても（これまでに作成したすべてのアカウントを本当に覚えていますか？）頻繁に使用しないものも含め、すべてを確認します。そして、あなたが現在30のアカウントを持っていない場合、あなたがそうするまでどれくらいの時間がかかりますか？最近、60代の父親とパスワード管理の演習を行いましたが、技術的なバックグラウンドから来たわけではありません。彼らは彼らの記憶を適用することができます。

130のアカウントはありませんが、パスワードマネージャーには確かに指と足の指以上のものがあります。職場のコンピューターのパスワードを変更するたびに、暗記するまでに約3週間の確実な使用が必要になります。そして、それは私が実際に手で入力する2〜4個のパスワードのうちの1つです。それを30〜100アカウントにスケーリングしてみてください、それは単に機能しません。

1つのパスワードだけでなく、安全なパスワードが必要ですか？ジェネレーターを使用し、パスワードをできるだけ長く複雑にランダム化します-エドワード・スノーデンは、NSAは毎秒10億の可能性を試すことができると主張しているので、準備が必要です:-)次に、パスワードマネージャーを使用してすべてのパスワード。