「パスワードの強度を判定」するツールにご注意を
2015年4月14日 10:46
「パスワードの強度を判定」するツールやサービスはいくつかあるが、それらによる判定結果に一貫性がないことがReadWriteで取り上げられている。
コンコルディア大学の研究者らが行った調査結果によると、こうしたツールではたとえば小文字の「l」を数字の「1」に置き換えるような、「破られやすいパターン」を無視することがあるという。さらに、実際にさまざまなツールやサービスを使って検証したところ、ほぼ同一のパスワードでまったく異なる結果が出た例もあるそうだ。
サイトによって異なる基準で強度を判定しているのが原因だそうで、またその判定基準もほとんど公開されていない点も問題だとしている。また、Dropbox(と同様のアルゴリズムを採用しているKeePass)だけは例外で、そのアルゴリズム「zxcvbn」はオープンソースで公開されており、その判定基準は非常に効果的だという。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
MMORPG「ドラゴンクエストX」、RMT対策が困難としてYahoo! IDでのログインを終了へ 2015年04月07日
IPA、パスワード強化を訴える「胸キュン」ポスターをJR原宿駅の大型看板に展示 2015年04月05日
岩井コスモ証券のネット取引システムで認証トラブル、解決法は「パスワードの後ろにスペースを入力する」 2015年03月05日