目からウロコ・・・
スラドに 「大文字小文字が必須です」はパスワードを脆弱にする てのがありました。
パスワードを強化するために「大文字/小文字/数字/記号を含めてください」といったサイトはよく見られるが、文字種を制限してしまうとすべて小文字/すべて大文字といった組み合わせが無くなるため、結果的に総当たり攻撃に弱くなるそうです。記事によると・・・
特に文字数が8文字のように短い場合、上記全ての文字種を含めるようにすると、組み合わせ数が41%も減ってしまうという。対策としては文字種を増やすのではなく、パスワードをより長くすべきとしている。
いや、このタレコミ読んで「なるほど」と妙に納得しちゃいました。パスワードに大文字、小文字を混ぜてくださいというというサイトは結構見受けられますけど、それをやると記事にもある通り、「すべて小文字/すべて大文字といった組み合わせ」をすべて排除することになるんですね。
なので、「大文字小文字が必須です」というサイトは自らパスワードの組み合わせを制限してしまっているのでより脆弱になるということなんです。
これ「大文字小文字が必須です」と言っているサイトの担当者全てに見せたいですねぇ・・・
めんどくさい上に、あえて脆弱にしちゃってるんじゃ意味ないですからね。
そんな中、きょうは 「FIDO」で“パスワードレス時代”到来か? ヤフーと三菱UFJに続きLINEも導入 というニュースもあったんです。 「FIDO」は生体認証を主に扱う標準化団体なのですが、その利用サイトが更に広がったというニュースです。記事にもある通り、LINEが2019年春ごろをめどに「LINE」や「LINE Pay」などのサービス利用時に生体認証(指紋認証、顔認証など)が利用できるようになるとのことで、更に期待が広がります。
「FIDO」が広まることで、前述のようなパスワード論議も過去のものとなるような時代が早々に来ることを願いたいものです。