パスワード

ウィキペディアから、無料の百科事典
ナビゲーションにジャンプ 検索にジャンプ
サインインフォームのパスワードフィールド。

パスワードたとえばAppleデバイスではパスコードと呼ばれることもあります) [1]は秘密のデータであり、通常は文字列であり、通常はユーザーのIDを確認するために使用されます。[1]従来、パスワードは記憶されることが期待されていましたが、一般的な個人がアクセスするパスワードで保護されたサービスの数が多いと、サービスごとに一意のパスワードを記憶することが非現実的になります。[2] NISTデジタルIDガイドラインの用語を使用して、[3]秘密は請求者と呼ばれる当事者によって保持され、請求者の身元を確認する当事者は検証者と呼ばれます申立人が確立された認証プロトコルを介して検証者にパスワードの知識をうまく示すと[4]検証者は申立人の身元を推測することができます。

一般に、パスワードは、文字、数字、またはその他の記号を含む任意の文字です。許可される文字が数字に制限されている場合、対応するシークレットは個人識別番号(PIN) と呼ばれることもあります。

その名前にもかかわらず、パスワードは実際の単語である必要はありません。実際、(辞書の意味での)非単語は推測が難しい場合があります。これはパスワードの望ましい特性です。一連の単語またはスペースで区切られた他のテキストで構成される記憶された秘密は、パスフレーズと呼ばれることもあります。パスフレーズは、使用法のパスワードに似ていますが、セキュリティを強化するために、前者の方が一般的に長くなります。[5]

歴史

パスワードは古くから使用されてきました。歩哨は、パスワードまたは合言葉を提供するためにエリアに入ることを望む人々に挑戦し、彼らがパスワードを知っている場合にのみ、個人またはグループが通過することを許可します。ポリビアスは、ローマ軍における合言葉の配布システムを次のように説明しています。

彼らが夜の合言葉の通過を確保する方法は次のとおりです。歩兵と騎兵の各クラスの10番目のマニプルスから、通りの下端に宿営しているマニプルスから、警備任務から解放され、彼は毎日日没時にトリビューンのテントに出席します、そして彼から合言葉(単語が刻まれた木製のタブレット)を受け取ると、彼は休暇を取り、彼の宿舎に戻ると、次のマニプルスの指揮官に目撃する前に合言葉とタブレットを渡します。彼の隣の人にそれ。それが最初のマニプルス、つまり護民官のテントの近くに宿営しているマニプルスに到達するまで、すべて同じことをします。これらの後者は、暗くなる前にタブレットを法廷に届ける義務があります。そのため、発行されたものがすべて返送された場合、トリビューンは合言葉がすべてのマニプルスに与えられたことを知り、彼に戻る途中ですべてを通過しました。いずれかが足りない場合は、タブレットが戻っていない四半期のマークでわかるように、彼はすぐに問い合わせを行い、停止の責任者は誰でも彼が値する罰に会います。[6]

軍事用途のパスワードは、パスワードだけでなく、パスワードとカウンターパスワードを含むように進化しました。たとえば、ノルマンディーの戦いの初日、米国第101空挺師団の空挺部隊はパスワード(フラッシュ)を使用しました。これはチャレンジとして提示され、正しい応答で答えられました—チャレンジとレスポンスは3日ごとに変更されました。アメリカの空挺部隊はまた、一時的にユニークな識別方法として、パスワードシステムの代わりにD-Dayで「クリケット」として知られる装置を使用したことでも有名です。パスワードの代わりにデバイスによって与えられた1回の金属クリックは、応答で2回のクリックによって満たされることになりました。[7]

パスワードは、コンピューティングの初期の頃からコンピューターで使用されてきました。1961年にMITで導入されたオペレーティングシステムであるCompatibleTime-Sharing System(CTSS)は、パスワードログインを実装した最初のコンピューターシステムでした。[8] [9] CTSSには、ユーザーパスワードを要求するLOGINコマンドがありました。「パスワードを入力した後、システムは可能であれば印刷メカニズムをオフにして、ユーザーがプライバシーを守ってパスワードを入力できるようにします。」[10] 1970年代初頭、Robert Morrisは、 Unixの一部としてログインパスワードをハッシュ形式で保存するシステムを開発しました。オペレーティング・システム。このシステムは、シミュレートされたHagelinローター暗号化マシンに基づいており、1974年に第6版Unixで最初に登場しました。crypt(3)として知られる彼のアルゴリズムの新しいバージョンは、12ビットソルトを使用し、 DESの修正された形式を呼び出しました。事前に計算された辞書攻撃のリスクを減らすためのアルゴリズム25回。[11]

現代では、ユーザー名とパスワードは、保護されたコンピューターのオペレーティングシステム携帯電話ケーブルTVデコーダー、現金自動預け払い機(ATM)などへのアクセスを制御するログインプロセス中に人々によって一般的に使用されます。多くの目的:アカウントへのログイン、電子メールの取得、アプリケーション、データベース、ネットワーク、Webサイトへのアクセス、さらには朝刊をオンラインで読むこと。

安全で覚えやすいパスワードの選択

所有者がパスワードを覚えやすいということは、一般的に、攻撃者が推測しやすいことを意味します。[12]ただし、(a)ユーザーはパスワードを書き留めるか電子的に保存する必要があり、(b)ユーザーは頻繁にパスワードをリセットする必要があり、(c)ユーザーは異なるアカウント間で同じパスワードを再利用する可能性が高くなります。同様に、「大文字と小文字を組み合わせて使用​​する」や「毎月変更する」など、パスワード要件が厳しくなるほど、ユーザーがシステムを破壊する度合いが高くなります。[13]他の人は、より長いパスワードはより多くのセキュリティを提供すると主張します(例えば、エントロピー)さまざまな文字を使用した短いパスワードよりも。[14]

パスワードの記憶力とセキュリティでは[ 15] Jeff Yan etal。パスワードの適切な選択についてユーザーに与えられたアドバイスの効果を調べます。彼らは、フレーズを考え、各単語の最初の文字をとることに基づくパスワードは、素朴に選択されたパスワードと同じくらい記憶に残り、ランダムに生成されたパスワードと同じように解読するのが難しいことを発見しました。

2つ以上の無関係な単語を組み合わせて、一部の文字を特殊文字または数字に変更することは別の良い方法です[16]が、単一の辞書の単語はそうではありません。あいまいなパスワードを生成するために個人的に設計されたアルゴリズムを持つことは、もう1つの良い方法です。[17]

ただし、「大文字と小文字の組み合わせ」で構成されるパスワードを覚えておくようにユーザーに求めるのは、一連のビットを覚えてもらうのと似ています。覚えにくく、解読するのが少し難しいだけです(たとえば、128倍難しい)。 7文字のパスワードを解読します。ユーザーが文字のいずれかを大文字にするだけの場合は少なくなります)。ユーザーに「文字と数字の両方」を使用するように求めると、攻撃者によく知られている「E」→「3」や「I」→「1」などの推測しやすい置換につながることがよくあります。同様に、キーボードの1行上にパスワードを入力することは、攻撃者に知られている一般的なトリックです。[18]

2013年に、Googleは最も一般的なパスワードの種類のリストをリリースしましたが、推測しやすいため(特にソーシャルメディアで個人を調査した後)、すべて安全ではないと見なされています。[19]

  • ペット、子供、家族、または大切な人の名前
  • 記念日と誕生日
  • 発祥の地
  • 好きな休日の名前
  • 好きなスポーツチームに関連する何か
  • 「パスワード」という言葉

暗記の代替手段

コンピュータとインターネットのユーザーが維持することが期待されるパスワードの数が非常に多いため、パスワードを記憶し、決して書き留めないという従来のアドバイスは課題になっています。ある調査によると、平均的なユーザーは約100個のパスワードを持っています。[2]パスワードの急増を管理するために、一部のユーザーは複数のアカウントに同じパスワードを使用します。これは、1つのアカウントでのデータ侵害が残りのアカウントを危険にさらす可能性があるため、危険な行為です。リスクの少ない代替手段には、パスワードマネージャーシングルサインオンシステムの使用、および重要度の低いパスワードの紙のリストの保持が含まれます。[20]このような方法により、パスワードマネージャーのマスターパスワードなど、記憶する必要のあるパスワードの数をより管理しやすい数に減らすことができます。

パスワードシステムのセキュリティの要素

パスワードで保護されたシステムのセキュリティは、いくつかの要因に依存します。システム全体は、コンピュータウイルス中間者攻撃などから保護された、健全なセキュリティを実現するように設計されている必要がありますショルダーサーフィンの阻止から、ビデオカメラやキーボードスニファーなどのより高度な物理的脅威まで、物理的セキュリティの問題も懸念事項です。パスワードは、攻撃者が推測しにくく、攻撃者が利用可能な自動攻撃スキームのいずれかを使用して発見しにくいように選択する必要があります。詳細については、パスワード強度コンピューターのセキュリティを参照してください。[21]

今日では、コンピュータシステムでは、入力時にパスワードを非表示にするのが一般的です。この対策の目的は、傍観者がパスワードを読み取れないようにすることです。ただし、この方法は間違いやストレスにつながる可能性があり、ユーザーに弱いパスワードを選択するように促す可能性があると主張する人もいます。別の方法として、ユーザーはパスワードを入力するときにパスワードを表示または非表示にするオプションを用意する必要があります。[21]

効果的なアクセス制御の規定は、パスワードまたは生体認証トークンを取得しようとしている犯罪者に極端な措置を強いる可能性があります。[22]それほど極端ではない対策には、恐喝ゴムホース暗号解読、およびサイドチャネル攻撃が含まれます。

パスワードについて考え、選択し、処理するときに考慮しなければならないいくつかの特定のパスワード管理の問題が続きます。

攻撃者が推測されたパスワードを試すことができるレート

攻撃者が推測されたパスワードをシステムに送信できる速度は、システムのセキュリティを決定する重要な要素です。一部のシステムでは、パスワード入力の試行が少数(たとえば、3回)失敗した後、数秒のタイムアウトが発生します。これは、スロットリングとも呼ばれます。[3] :63B Sec 5.2.2  他の脆弱性がない場合、そのようなシステムは、適切に選択されていて簡単に推測できない場合、比較的単純なパスワードで効果的に保護できます。[23]

多くのシステムは、パスワードの暗号化ハッシュを保存します。攻撃者がハッシュされたパスワードのファイルにアクセスした場合、推測はオフラインで実行でき、真のパスワードのハッシュ値に対して候補パスワードを迅速にテストします。Webサーバーの例では、オンラインの攻撃者はサーバーが応答する速度でしか推測できませんが、オフラインの攻撃者(ファイルにアクセスできる)はハードウェアによってのみ制限された速度で推測できます。攻撃が実行されています。

暗号化キーの生成に使用されるパスワード(ディスク暗号化Wi-Fiセキュリティなど)も、高速推測の対象となる可能性があります。一般的なパスワードのリストは広く入手可能であり、パスワード攻撃を非常に効率的にすることができます。パスワードクラッキングを参照してください。)このような状況でのセキュリティは、適切な複雑さのパスワードまたはパスフレーズの使用に依存しているため、攻撃者はこのような攻撃を計算上実行不可能にします。PGPWi- FiWPAなどの一部のシステムでは、計算量の多いハッシュをパスワードに適用して、このような攻撃を遅らせます。キーストレッチを参照してください

パスワード推測の数の制限

攻撃者がパスワードを推測できる速度を制限する代わりに、推測できる合計数を制限することもできます。少数の連続した誤った推測(たとえば5)の後で、パスワードを無効にしてリセットする必要があります。また、ユーザーは、正当なパスワード所有者による適切な推測の間に攻撃者が散在することにより、任意に多数の誤った推測を行うことを防ぐために、より多くの累積数の誤った推測(たとえば30)の後にパスワードを変更する必要があります。[24] 攻撃者は、逆に、この緩和策の知識を使用して、サービス拒否攻撃を実装する可能性があります。ユーザーを自分のデバイスから意図的にロックアウトすることにより、ユーザーに対して。このサービス拒否は、攻撃者がソーシャルエンジニアリングを介して状況を有利に操作するための他の手段を開く可能性があります

保存されたパスワードの形式

一部のコンピュータシステムは、ユーザーパスワードをプレーンテキストとして保存し、ユーザーのログオン試行を比較します。攻撃者がそのような内部パスワードストアにアクセスすると、すべてのパスワード、つまりすべてのユーザーアカウントが危険にさらされます。一部のユーザーが異なるシステムのアカウントに同じパスワードを使用している場合、それらも危険にさらされます。

より安全なシステムでは、各パスワードが暗号で保護された形式で保存されるため、システムへの内部アクセスを取得するスヌーパーにとって、実際のパスワードへのアクセスは依然として困難ですが、ユーザーアクセスの試行の検証は引き続き可能です。最も安全なのはパスワードをまったく保存しませんが、多項式モジュラス、または高度なハッシュ関数などの一方向の派生です。[14] Roger Needhamは、「ハッシュ化された」形式のプレーンテキストパスワードのみを保存するという現在一般的なアプローチを発明しました。[25] [26]ユーザーがそのようなシステムでパスワードを入力すると、パスワード処理ソフトウェアは暗号化ハッシュを実行しますアルゴリズムであり、ユーザーのエントリから生成されたハッシュ値がパスワードデータベースに保存されているハッシュと一致する場合、ユーザーはアクセスを許可されます。ハッシュ値は、送信されたパスワードと、多くの実装では、saltと呼ばれる別の値で構成される文字列に暗号化ハッシュ関数を適用することによって作成されます。ソルトは、攻撃者が一般的なパスワードのハッシュ値のリストを簡単に作成することを防ぎ、パスワードクラッキングの取り組みがすべてのユーザーに及ぶことを防ぎます。[27] MD5SHA1は頻繁に使用される暗号化ハッシュ関数ですが、 PBKDF2などのより大きな構造の一部として使用されない限り、パスワードハッシュにはお勧めしません[28]

保存されたデータ(「パスワードベリファイア」または「パスワードハッシュ」と呼ばれることもあります)は、Modular CryptFormatまたはRFC2307ハッシュ形式で保存されることが多く、/ etc / passwdファイルまたは/ etc / shadowファイルに保存されることもあります。[29]

パスワードの主な保存方法は、プレーンテキスト、ハッシュ、ハッシュ、ソルト、および可逆暗号化です。[30] 攻撃者がパスワードファイルにアクセスした場合、それがプレーンテキストとして保存されていれば、クラッキングは必要ありません。ハッシュされているがソルトされていない場合は、レインボーテーブル攻撃に対して脆弱です(クラッキングよりも効率的です)。可逆的に暗号化されている場合、攻撃者がファイルと一緒に復号化キーを取得した場合、クラッキングは必要ありませんが、キーの取得に失敗した場合、クラッキングは不可能です。したがって、パスワードがソルトおよびハッシュされた場合にのみ、パスワードの一般的なストレージ形式が必要かつ可能になります。[30]

暗号化ハッシュ関数が適切に設計されている場合、関数を逆にしてプレーンテキストのパスワードを回復することは計算上不可能です。ただし、攻撃者は広く利用可能なツールを使用してパスワードを推測しようとする可能性があります。これらのツールは、可能なパスワードをハッシュし、各推測の結果を実際のパスワードハッシュと比較することで機能します。攻撃者が一致するものを見つけた場合、彼らの推測は関連するユーザーの実際のパスワードであることがわかります。パスワードクラッキングツールは、力ずくで(つまり、可能な限りすべての文字の組み合わせを試す)、またはリストからすべての単語をハッシュすることで動作します。多くの言語で可能なパスワードの大規模なリストは、インターネットで広く入手できます。[14]パスワードクラッキングの存在ツールを使用すると、攻撃者は不適切に選択されたパスワードを簡単に回復できます。特に、攻撃者は、短い辞書の単語、辞書の単語の単純なバリエーション、または簡単に推測できるパターンを使用するパスワードをすばやく回復できます。[31] DESアルゴリズム の修正バージョンは、初期のUnixシステムでのパスワードハッシュアルゴリズムの基礎として使用されていました。[32]暗号化アルゴリズムは12ビットのソルト値を使用して各ユーザーのハッシュが一意になるようにし、ハッシュ関数を遅くするためにDESアルゴリズムを25回繰り返しました。どちらの方法も、自動推測攻撃を妨げることを目的としています。[32] ユーザーのパスワードは、固定値を暗号化するためのキーとして使用されました。最近のUnixまたはUnixライクなシステム(LinuxやさまざまなBSDシステムなど)は、 PBKDF2bcryptscryptなどのより安全なパスワードハッシュアルゴリズムを使用しています。[33] 不十分に設計されたハッシュ関数は、強力なパスワードが選択された場合でも攻撃を実行可能にする可能性があります。広く展開されている安全でない例については、LMハッシュを参照してください。[34]

ネットワーク経由でパスワードを確認する方法

パスワードの簡単な送信

パスワードは、認証マシンまたは個人に送信されている間、傍受(つまり「スヌーピング」)に対して脆弱です。パスワードが、ユーザーアクセスポイントとパスワードデータベースを制御する中央システムとの間の安全でない物理配線で電気信号として伝送される場合、盗聴方法によるスヌーピングの対象となります。インターネットを介してパケット化されたデータとして運ばれる場合、ログオン情報を含むパケットを監視できる人は誰でも、検出される可能性が非常に低い状態でスヌープできます。

パスワードを配布するために電子メールが使用されることもありますが、これは一般的に安全でない方法です。ほとんどの電子メールはプレーンテキストとして送信されるため、パスワードを含むメッセージは、盗聴者による転送中に手間をかけずに読み取ることができます。さらに、メッセージは、送信者と受信者の少なくとも2台のコンピューターにプレーンテキストとして保存されます。移動中に中間システムを通過する場合は、少なくともしばらくの間、中間システムにも保存される可能性があり、これらのシステムのいずれかのバックアップキャッシュ、または履歴ファイルにコピーされる可能性があります。

クライアント側の暗号化を使用すると、メール処理システムサーバーからクライアントマシンへの送信のみが保護されます。電子メールの以前または後続のリレーは保護されず、電子メールはおそらく複数のコンピューター、確かに発信元および受信側のコンピューターに、ほとんどの場合クリアテキストで保存されます。

暗号化されたチャネルを介した送信

インターネットを介して送信されるパスワードの傍受のリスクは、他のアプローチの中でも、暗号化保護を使用することによって減らすことができます。最も広く使用されているのは、現在のほとんどのインターネットブラウザに組み込まれているトランスポート層セキュリティ(TLS、以前はSSLと呼ばれていました)機能です。ほとんどのブラウザは、TLSが使用されているときに、閉じたロックアイコンまたはその他の記号を表示することにより、サーバーとのTLS / SSLで保護された交換についてユーザーに警告します。使用されている他のいくつかの手法があります。暗号化を参照してください

ハッシュベースのチャレンジ/レスポンス方式

残念ながら、保存されているハッシュパスワードとハッシュベースのチャレンジ/レスポンス認証の間には競合があります。後者では、クライアントが共有シークレット(つまり、パスワード)が何であるかをサーバーに証明する必要があります。これを行うには、サーバーが保存されたフォームから共有シークレットを取得できる必要があります。リモート認証を行う多くのシステム(Unixタイプのシステムを含む)では、共有シークレットは通常ハッシュ形式になり、パスワードをオフライン推測攻撃にさらすという深刻な制限があります。さらに、ハッシュが共有シークレットとして使用される場合、攻撃者はリモート認証のために元のパスワードを必要としません。必要なのはハッシュだけです。

ゼロ知識パスワード証明

パスワードを送信したり、パスワードのハッシュを送信したりするのではなく、パスワード認証された鍵共有システムは、ゼロ知識パスワード証明を実行できます。これにより、パスワードを公開せずに、パスワードの知識を証明できます。

さらに一歩進んで、パスワード認証された鍵共有のための拡張システム(AMPB-SPEKEPAK-ZSRP-6など)は、ハッシュベースの方法の競合と制限の両方を回避します。拡張システムを使用すると、クライアントはサーバーに対してパスワードの知識を証明できます。サーバーは(正確ではない)ハッシュされたパスワードのみを知っており、アクセスするにはハッシュされていないパスワードが必要です。

パスワード変更の手順

通常、システムは、現在のパスワードが侵害された(または侵害された可能性がある)とユーザーが信じているため、または予防措置として、パスワードを変更する方法を提供する必要があります。新しいパスワードが暗号化されていない形式でシステムに渡された場合、新しいパスワードをパスワードデータベースにインストールする前に、セキュリティが失われる可能性があります(たとえば、盗聴によって)。また、新しいパスワードが侵害された従業員に渡された場合、ほとんど得られません。 。一部のWebサイトでは、ユーザーが選択したパスワードが暗号化されていない確認電子メールメッセージに含まれていますが、明らかに脆弱性が高まっています。

ID管理システムは、失われたパスワードの置き換えの発行を自動化するためにますます使用されています。これは、セルフサービスパスワードリセットと呼ばれる機能です。ユーザーの身元は、質問をし、以前に保存されたもの(つまり、アカウントが開設されたとき)と回答を比較することによって確認されます。

パスワードリセットの質問の中には、母親の旧姓など、ソーシャルメディアで見つかる可能性のある個人情報を求めるものがあります。その結果、一部のセキュリティ専門家は、自分で質問をするか、間違った答えを出すことを勧めています。[35]

パスワードの寿命

「パスワードエージング」は一部のオペレーティングシステムの機能であり、ユーザーはパスワードを頻繁に(たとえば、四半期ごと、月ごと、またはさらに頻繁に)変更する必要があります。このようなポリシーは通常、ユーザーの抗議と足を引っ張るだけで、最悪の場合は敵意を引き起こします。多くの場合、パスワードを書き留めて簡単に見つけられる場所に置いておく人の数が増え、ヘルプデスクが忘れたパスワードをリセットするために電話をかけます。ユーザーは、より単純なパスワードを使用するか、一貫したテーマでバリエーションパターンを作成して、パスワードを覚えやすくすることができます。[36]これらの問題のために、パスワードエージングが効果的であるかどうかについていくつかの議論があります。[37]パスワードを変更しても、悪用はすぐに気付くことが多いため、ほとんどの場合、悪用を防ぐことはできません。ただし、コンピュータの共有や別のサイトへの侵入など、誰かが何らかの手段でパスワードにアクセスした可能性がある場合は、パスワードを変更すると、悪用の可能性が制限されます。[38]

パスワードあたりのユーザー数

確かにセキュリティの観点から、システムの正当なユーザーが単一のパスワードを共有するよりも、システムの各ユーザーに個別のパスワードを割り当てる方が望ましいです。これは、ユーザーが自分専用のパスワードよりも、他の人(許可されていない可能性がある)に共有パスワードを伝えたがっていることが一因です。[要出典]単一のパスワードは、同時に多くの人に通知する必要があるため、変更するのに非常に便利ではありません。また、卒業や辞任など、特定のユーザーのアクセスを削除するのが難しくなります。個別のログインは、説明責任のためにもよく使用されます。たとえば、誰がデータを変更したかを知るためです。

パスワードセキュリティアーキテクチャ

パスワードで保護されたコンピュータシステムのセキュリティを向上させるために使用される一般的な手法は次のとおりです。

  • 入力中のパスワードを表示画面に表示しない、またはアスタリスク(*)または箇条書き(•)を使用して入力したときにパスワードを隠します。
  • 適切な長さのパスワードを許可します。(UnixおよびWindowsの初期バージョン[ which? ]を含む一部のレガシーオペレーティングシステムでは、パスワードが最大8文字に制限されており、[39] [40] [41]セキュリティが低下しています。)
  • 非アクティブな期間が経過した後、ユーザーにパスワードの再入力を要求する(片対数ポリシー)。
  • パスワードポリシーを適用して、パスワードの強度とセキュリティを強化します。
    • ランダムに選択されたパスワードの割り当て。
    • パスワードの最小の長さが必要です。[28]
    • 一部のシステムでは、パスワードにさまざまな文字クラスの文字が必要です。たとえば、「少なくとも1つの大文字と少なくとも1つの小文字が必要です」。ただし、すべて小文字のパスワードは、大文字と小文字が混在するパスワードよりもキーストロークごとの方が安全です。[42]
    • パスワードブラックリストを使用して、弱くて推測しやすいパスワードの使用をブロックします
    • キーボード入力の代替手段を提供する(たとえば、音声パスワード、または生体認証識別子)。
    • 2要素認証(ユーザーが持っているものとユーザーが知っているもの)など、複数の認証システムが必要です。
  • 暗号化されたトンネルまたはパスワード認証された鍵共有を使用して、ネットワーク攻撃を介して送信されたパスワードへのアクセスを防止します
  • 特定の期間内に許可される失敗の数を制限する(パスワードの推測が繰り返されるのを防ぐため)。制限に達した後、次の期間が始まるまで、それ以上の試行は失敗します(正しいパスワードの試行を含む)。ただし、これはサービス拒否攻撃の形式に対して脆弱です。
  • パスワード送信の試行の間に遅延を導入すると、自動パスワード推測プログラムの速度が低下します。

より厳格なポリシー施行措置のいくつかは、ユーザーを遠ざけるリスクをもたらし、結果としてセキュリティを低下させる可能性があります。

パスワードの再利用

コンピュータユーザーの間では、複数のサイトで同じパスワードを再利用するのが一般的です。攻撃者は、被害者が使用する他のサイトにアクセスするために1つのサイトを侵害するだけでよいため、これにはかなりのセキュリティリスクがあります。この問題は、ユーザー名を再利用したり、電子メールログインを必要とするWebサイトによって悪化したりします。これにより、攻撃者は複数のサイトで1人のユーザーを追跡しやすくなります。パスワードの再利用は、ニーモニック手法を使用するか、紙にパスワードを書き留めるか、パスワードマネージャーを使用することで回避または最小限に抑えることできます[43]

レドモンドの研究者であるDineiFlorencioとCormacHerleyは、カナダのカールトン大学のPaul C. van Oorschotとともに、パスワードの再利用は避けられず、ユーザーはセキュリティの低いWebサイト(個人データがほとんど含まれておらず、たとえば、財務情報はありません)。代わりに、銀行口座などのいくつかの重要なアカウントの長くて複雑なパスワードを覚えておくことに注力します。[44]人間の記憶における同じ制限のために、多くの「専門家」がアドバイスするほど頻繁にパスワードを変更しないというフォーブスによって同様の議論がなされた。[36]

紙にパスワードを書き留める

歴史的に、多くのセキュリティ専門家は人々に彼らのパスワードを覚えるように頼みました:「パスワードを決して書き留めないでください」。最近では、ブルースシュナイアーなどの多くのセキュリティ専門家が、複雑すぎて覚えられないパスワードを使用し、紙に書き留めて、財布に入れておくことを推奨しています。[45] [46] [47] [48] [49] [50] [51]

パスワードマネージャーソフトウェアは、単一のマスターパスワードで封印された暗号化ファイルにパスワードを比較的安全に保存することもできます。

死後

ロンドン大学の調査によると、現在、10人に1人が、死亡したときにこの重要な情報を渡すために、自分の意志でパスワードを残しています。世論調査によると、3分の1の人が、パスワードで保護されたデータが自分の意志で渡すのに十分重要であることに同意しています。[52]

多要素認証

多要素認証スキームは、パスワード(「知識要素」として)を1つ以上の他の認証手段と組み合わせて、認証をより安全にし、侵害されたパスワードに対する脆弱性を減らします。たとえば、単純な2要素ログインでは、ログインが試行されるたびにテキストメッセージ、電子メール、自動電話、または同様のアラートが送信され、パスワードに加えて入力する必要のあるコードが提供される場合があります。[53]より洗練された要素には、ハードウェアトークンや生体認証セキュリティなどが含まれます。

パスワードルール

ほとんどの組織は、パスワードの構成と使用に関する要件を設定するパスワードポリシーを指定します。通常、最小の長さ、必要なカテゴリ(大文字と小文字、数字、特殊文字など)、禁止されている要素(自分の名前の使用など)を指定します。生年月日、住所、電話番号)。一部の政府には、パスワードの要件を含む、政府サービスに対するユーザー認証の要件を定義する 国内認証フレームワーク[54]があります。

多くのWebサイトでは、最小長や最大長などの標準的な規則が適用されますが、少なくとも1つの大文字と少なくとも1つの数字/記号を使用するなどの構成規則も含まれることがよくあります。これらの後者のより具体的な規則は、主に、BillBurrによって作成された米国国立標準技術研究所(NIST)による2003年の報告に基づいていました。[55]当初は、数字、あいまいな文字、大文字を使用し、定期的に更新する方法を提案していました。2017年のウォールストリートジャーナルの記事で、バーはこれらの提案を後悔し、推薦したときに間違いを犯したと報告しました。[56]

このNISTレポートの2017年の書き直しによると、多くのWebサイトには、ユーザーのセキュリティに実際には逆の影響を与えるルールがあります。これには、複雑な構成ルールと、一定期間後のパスワードの強制変更が含まれます。これらのルールは長い間普及してきましたが、ユーザーとサイバーセキュリティの専門家の両方から迷惑で効果がないと長い間見られてきました。[57] NISTは、「pA55w + rd」のような「幻想的な複雑さ」を持つ覚えにくいパスワードの代わりに、パスワードとして長いフレーズを使用することを推奨しています(そして、Webサイトに最大パスワード長を上げるようにアドバイスしています)。[58]パスワード「password」の使用を禁止されているユーザーは、数字と大文字を含める必要がある場合は、単に「Password1」を選択できます。定期的なパスワードの強制変更と組み合わせると、覚えにくいが解読しやすいパスワードにつながる可能性があります。[55]

2017NISTレポートの作成者の1人であるPaulGrassiは、さらに詳しく説明します。「感嘆符が1、I、またはパスワードの最後の文字であることは誰もが知っています。$はSまたは5です。これらをうまく使用すれば-既知のトリックですが、敵をだましているわけではありません。パスワードを保存しているデータベースをだまして、ユーザーが何か良いことをしたと思い込ませているだけです。」[57]

PierisTsokkisとElianaStavrouは、パスワードジェネレータツールの研究開発を通じて、いくつかの悪いパスワード構築戦略を特定することができました。彼らは、公開されたパスワードリスト、パスワードクラッキングツール、および最も使用されているパスワードを引用したオンラインレポートに基づいて、8つのカテゴリのパスワード構築戦略を考案しました。これらのカテゴリには、ユーザー関連情報、キーボードの組み合わせとパターン、配置戦略、ワードプロセッシング、置換、大文字と小文字の区別、日付の追加、および前のカテゴリの組み合わせが含まれます[59]。

パスワードクラッキング

時間とお金が許す限り多くの可能性を試してパスワードを解読しようとすることは、ブルートフォース攻撃です。関連する方法は、ほとんどの場合、かなり効率的ですが、辞書攻撃です。辞書攻撃では、1つ以上の辞書のすべての単語がテストされます。一般的なパスワードのリストも通常テストされます。

パスワード強度は、パスワードを推測または発見できない可能性であり、使用される攻撃アルゴリズムによって異なります。暗号学者やコンピューター科学者は、エントロピーの観点から強度または「硬度」を指すことがよくあります[14]

簡単に発見されるパスワードは、脆弱または脆弱と呼ばれます。発見が非常に困難または不可能なパスワードは強力であると見なされます。L0phtCrackJohn the RipperCainなど、パスワード攻撃(またはシステム担当者による監査と回復)に利用できるプログラムがいくつかありますそのうちのいくつかは、効率を上げるためにパスワード設計の脆弱性(Microsoft LANManagerシステムに見られる)を使用しています。これらのプログラムは、システム管理者がユーザーから提案された弱いパスワードを検出するために使用されることがあります。

本番コンピュータシステムの研究では、ユーザーが選択したすべてのパスワードの大部分が自動的に容易に推測されることが一貫して示されています。たとえば、コロンビア大学は、ユーザーパスワードの22%がほとんど労力をかけずに回復できることを発見しました。[60] Bruce Schneierによると、2006年のフィッシング攻撃のデータを調べると、2006年に毎秒200,000個のパスワードをテストできる市販のPassword Recovery Toolkitを使用すると、 MySpaceパスワードの55%が8時間で解読可能になるとのことです。 [61]最も一般的なパスワードはpassword1でした、ユーザー間でパスワードを選択する際の情報に基づく注意の一般的な欠如をもう一度確認します。(それでも、これらのデータに基づいて、パスワードの一般的な品質は長年にわたって向上していると彼は主張しました。たとえば、平均の長さは以前の調査の7文字未満から最大8文字で、辞書の単語は4%未満でした。[62 ]))

インシデント

  • 1998年7月16日、CERTは、攻撃者が186,126個の暗号化されたパスワードを発見したという事件を報告しました。攻撃者が発見された時点で、47,642個のパスワードがすでに解読されていました。[63]
  • 2001年9月、9月11日の同時多発テロで960人のニューヨークの従業員が死亡した後、金融サービス会社のCantor Fitzgeraldは、 Microsoftを通じて亡くなった従業員のパスワードを破り、クライアントアカウントのサービスに必要なファイルにアクセスしました。[64]技術者はブルートフォース攻撃を使用し、インタビュアーは家族に連絡して、より弱いパスワードの検索時間を短縮する可能性のある個人情報を収集しました。[64]
  • 2009年12月、Rockyou.com Webサイトの重大なパスワード違反が発生し、3,200万のパスワードがリリースされました。その後、ハッカーは3,200万個のパスワードの完全なリスト(他の識別可能な情報は含まない)をインターネットに漏らしました。パスワードはデータベースにクリアテキストで保存され、SQLインジェクションの脆弱性によって抽出されました。Imperva Application Defense Center(ADC)は、パスワードの強度について分析を行いました[65]
  • 2011年6月、NATO(北大西洋条約機構)はセキュリティ違反を経験し、電子書籍ショップの11,0​​00人を超える登録ユーザーの名前、ユーザー名、およびパスワードを公開しました。データは、 AnonymousLulzSec、およびその他のハッキンググループや個人を含む運動であるOperationAntiSecの一部として漏洩しました。AntiSecの目的は、必要な手段を使用して、個人情報、機密情報、および制限された情報を世界に公開することです。[66]
  • 2011年7月11日、国防総省で働いているコンサルティング会社のブーズアレンハミルトンは、サーバーをアノニマスにハッキングされ、同じ日にリークしました。「「ミリタリーメルトダウンマンデー」と呼ばれるリークには、 USCENTCOMSOCOM海兵隊、さまざまな空軍施設、国土安全保障省国務省職員、および民間部門の請負業者のように見える職員を含む、軍事要員の90,000人のログインが含まれます。」[67]これらの漏洩したパスワードは、SHA1でハッシュ化され、後でImpervaのADCチームによって復号化および分析されました。、軍人でさえパスワード要件を回避するショートカットと方法を探していることを明らかにします。[68]

認証用のパスワードの代替

永続的または半永続的なパスワードが危険にさらされる可能性のある多くの方法が、他の技術の開発を促しました。残念ながら、実際には不十分なものもあり、いずれにせよ、より安全な代替手段を探しているユーザーが普遍的に利用できるようになったものはほとんどありません。[要出典] 2012年の論文[69]は、パスワードを置き換えるのが非常に難しいことが証明された理由を調べています(多くの予測にもかかわらず、パスワードはすぐに過去のものになるでしょう[70])。セキュリティ、使いやすさ、展開性に関して30の代表的な代替案を検討したところ、「レガシーパスワードがすでに提供しているすべてのメリットを保持しているものはありません」と結論付けています。

  • 使い捨てパスワード一度だけ有効なパスワードを使用すると、多くの潜在的な攻撃が無効になります。ほとんどのユーザーは、使い捨てのパスワードは非常に不便だと感じています。ただし、これらは個人のオンラインバンキングで広く実装されており、トランザクション認証番号(TAN)として知られています。ほとんどのホームユーザーは毎週少数のトランザクションしか実行しないため、この場合、使い捨ての問題が許容できない顧客の不満につながることはありません。
  • 時間同期されたワンタイムパスワードは、いくつかの点で使い捨てパスワードに似ていますが、入力する値は小さな(通常はポケットに入れられる)アイテムに表示され、1分ごとに変化します。
  • PassWindowワンタイムパスワードはシングルユースパスワードとして使用されますが、入力される動的文字は、ユーザーがユーザーの画面に表示されるサーバー生成のチャレンジ画像に一意の印刷されたビジュアルキーを重ね合わせた場合にのみ表示されます。
  • 公開鍵暗号に基づくアクセス制御(例:ssh ) 。必要なキーは通常、覚えるには大きすぎます(ただし、Passmazeの提案を参照)[71]。ローカルコンピューター、セキュリティトークン、またはUSBフラッシュドライブフロッピーディスクなどのポータブルメモリデバイスに保存する必要があります秘密鍵はクラウドサービスプロバイダーに保存され、パスワードまたは2要素認証を使用してアクティブ化される場合があります。
  • 生体認証方式は、変更できない個人特性に基づく認証を約束しますが、現在(2008)はエラー率が高く、スキャンするために追加のハードウェアが必要ですたとえば指紋虹彩などです。いくつかの有名なインシデントテストで簡単になりすますことが証明されています。市販のシステム、たとえば、gummie指紋スプーフィングのデモンストレーション[72]。これらの特性は変更できないため、危険にさらされても変更できません。侵害されたアクセストークンは必然的に安全ではないため、これはアクセス制御において非常に重要な考慮事項です。
  • シングルサインオンテクノロジーは、複数のパスワードを持つ必要性を排除すると主張されています。このようなスキームは、ユーザーと管理者が妥当なシングルパスワードを選択することから解放されることも、システム設計者または管理者がシングルサインオンを可能にするシステム間で渡されるプライベートアクセス制御情報が攻撃に対して安全であることを保証することから解放されません。まだ、満足のいく基準は開発されていません。
  • Envaultingテクノロジーは、USBフラッシュドライブなどのリムーバブルストレージデバイス上のデータを保護するためのパスワードなしの方法です。ユーザーパスワードの代わりに、アクセス制御はネットワークリソースへのユーザーのアクセスに基づいています。
  • グラフィカルパスワードやマウス移動ベースのパスワードなど、テキストベースではないパスワード。[73]グラフィカルパスワードは、従来のパスワードの代わりに使用することを目的としたログインの認証 の代替手段です。文字数字特殊文字の代わりに、画像グラフィック、またはを使用しますあるシステムでは、人間の脳が顔を簡単に思い出す能力を利用して、ユーザーが一連のをパスワードとして選択する必要があります[74]一部の実装では、ユーザーはアクセスするために一連の画像から正しい順序で選択する必要があります。[75]別のグラフィカルパスワードソリューションは、ランダムに生成された画像のグリッドを使用してワンタイムパスワードを作成します。ユーザーは認証が必要になるたびに、事前に選択したカテゴリに一致する画像を探し、画像に表示されるランダムに生成された英数字を入力してワンタイムパスワードを形成します。[76] [77]これまでのところ、グラフィカルパスワードは有望ですが、広く使用されていません。このテーマに関する研究は、実世界でのユーザビリティを決定するために行われました。グラフィカルなパスワードは解読が難しいと考える人もいます、他の人は、人々が一般的なパスワードを選ぶのと同じくらい一般的な画像やシーケンスを選ぶ可能性が高いと示唆しています。[要出典]
  • 2Dキー(2次元キー)[78]は、マルチラインパスフレーズ、クロスワード、ASCII /ユニコードアートのキースタイルを持ち、オプションのテキストセマンティックノイズを使用して、128ビットを超える大きなパスワード/キーを作成する2Dマトリックスのようなキー入力方法です。暗号化された秘密鍵、分割秘密鍵、ローミング秘密鍵などの現在の秘密鍵管理技術に基づいて、完全に記憶可能な秘密鍵を使用してMePKC(記憶可能な公開鍵暗号)[79]を実現します。
  • コグニティブパスワードは、質問と回答のキュー/応答のペアを使用してIDを確認します。

「パスワードが無効です」

「パスワードが無効である」ということは、コンピュータセキュリティで繰り返し発生する考えです。与えられた理由には、パスワードの使いやすさやセキュリティの問題への言及が含まれることがよくあります。多くの場合、より安全な認証手段によるパスワードの置き換えが必要であり、差し迫っているとの議論が伴います。この主張は、少なくとも2004年以来、多くの人々によってなされてきました。[70] [80] [81] [82] [83] [84] [85] [86]

パスワードの代替には、バイオメトリクス2要素認証またはシングルサインオンMicrosoftCardspaceHigginsプロジェクトLiberty AllianceNSTICFIDO Alliance、およびさまざまなIdentity2.0の提案が含まれます。[87] [88]

ただし、これらの予測とそれらを置き換える努力にもかかわらず、パスワードは依然としてWeb上での主要な認証形式です。「パスワードの永続性」の中で、CormacHerleyとPaulvan Oorschotは、パスワードが無効であるという「見事に誤った仮定」を終わらせるためにあらゆる努力を払うべきであると示唆しています。[89] 彼らは、「コスト、即時性、利便性の組み合わせに匹敵する単一のテクノロジーは他にない」、「パスワード自体が、現在使用されている多くのシナリオに最適である」と主張しています。

これに続いて、Bonneau etal。使いやすさ、展開性、セキュリティの観点から、Webパスワードを35の競合する認証スキームと体系的に比較しました。[90] [91]彼らの分析によると、ほとんどのスキームはセキュリティのパスワードよりも優れており、一部のスキームは使いやすさの点で優れており、一部のスキームは劣っていますが、すべてのスキームは展開性のパスワードよりも劣っています。著者は次のように結論付けています。「わずかな利益は、多くの場合、大幅な移行コストを克服するために必要な活性化エネルギーに到達するのに十分ではありません。これは、パスワードの葬列が到着する前に、私たちがかなり長生きする可能性がある理由の最良の説明を提供する可能性があります墓地で。」

も参照してください

参考文献

  1. ^ a b "パスコード"YourDictionary 2019年5月17日取得
  2. ^ a b ウィリアムズ、シャノン(2020年10月21日)。「平均的な人は100個のパスワードを持っています-勉強してください」NordPass 2021年4月28日取得
  3. ^ a b グラッシ、ポールA。; ガルシア、マイケルE。; フェントン、ジェームズL.(2017年6月)。「NIST特別刊行物800-63-3:デジタルアイデンティティガイドライン」米国国立標準技術研究所(NIST)。土井10.6028 /NIST.SP.800-63-32019年5月17日取得 {{cite journal}}引用ジャーナルには|journal=ヘルプ)が必要です
  4. ^ 「認証プロトコル」コンピュータセキュリティリソースセンター(NIST)2019年5月17日取得
  5. ^ 「パスフレーズ」コンピュータセキュリティリソースセンター(NIST)2019年5月17日取得
  6. ^ ウェイバックマシンで2008年2月7日にアーカイブされたローマ軍のポリュビオス Ancienthistory.about.com(2012-04-13)。2012年5月20日に取得。
  7. ^ マークバンドー(2007)。第101空挺師団:第二次世界大戦でのスクリーミングイーグルスMbi出版社。ISBN 978-0-7603-2984-92013年6月2日にオリジナルからアーカイブされました2012年5月20日取得
  8. ^ マクミラン、ロバート(2012年1月27日)。「世界初のコンピュータパスワード?それも役に立たなかった」有線マガジン2019年3月22日取得
  9. ^ ハント、トロイ(2017年7月26日)。「進化したパスワード:現代の認証ガイダンス」2019年3月22日取得
  10. ^ CTSSプログラマーガイド、第2版、MIT Press、1965
  11. ^ モリス、ロバート; ケン・トンプソン(1978-04-03)。「パスワードセキュリティ:ケースヒストリー」。ベル研究所CiteSeerX10.1.1.128.1635_ 
  12. ^ ヴァンス、アシュリー(2010-01-10)。「パスワードが123456の場合は、HackMeにしてください」ニューヨークタイムズ2017-02-11にオリジナルからアーカイブされました。
  13. ^ 「ネットワークセキュリティの管理」2008年3月2日にオリジナルからアーカイブされました2009年3月31日取得{{cite web}}:CS1 maint:bot:元のURLステータスが不明(リンクフレッドコーエンアンドアソシエイツ。All.net。2012年5月20日に取得。
  14. ^ a b c d Lundin、Leigh(2013-08-11)。「PINとパスワード、パート2」パスワードオーランド:SleuthSayers。
  15. ^ Wayback Machineで2012年4月14日にアーカイブされたパスワードの記憶力とセキュリティ (pdf)。ncl.ac.uk。2012年5月20日に取得。
  16. ^ マイケルE.ホイットマン; ハーバート・J・マトー(2014)。情報セキュリティの原則センゲージラーニング。p。162. ISBN 978-1-305-17673-7
  17. ^ 「ランダムパスワードジェネレータを作成する方法」PCMAG 2021-09-05を取得
  18. ^ ルイス、デイブ(2011)。Ctrl-Alt-Deletep。17. ISBN 978-14710191112015年7月10日取得
  19. ^ Techlicious / Fox Van Allen @techlicious(2013-08-08)。「Googleは10の最悪のパスワードのアイデアを明らかにする| TIME.com」Techland.time.com。2013-10-22にオリジナルからアーカイブされました2013年10月16日取得
  20. ^ Fleishman、Glenn(2015年11月24日)。「安全性を向上させるためにパスワードを書き留めてください—直感に反する概念により、リモート攻撃に対する脆弱性は低くなりますが、それ以上にはなりません」MacWorld 2021年4月28日取得
  21. ^ a b Lyquixブログ:パスワードを非表示にする必要がありますか? ウェイバックマシンで2012年4月25日にアーカイブされました。Lyquix.com。2012年5月20日に取得。
  22. ^ ジョナサン・ケント マレーシアの車泥棒が指を盗む ウェイバックマシンで2010年11月20日にアーカイブされました。BBC(2005-03-31)
  23. ^ StuartBrown「英国で使用されているパスワードのトップ10」2006年11月8日にオリジナルからアーカイブされました2007年8月14日取得Modernlifeisrubbish.co.uk(2006-05-26)。2012年5月20日に取得。
  24. ^ 米国特許8046827 
  25. ^ ウィルクス、MVタイムシェアリングコンピュータシステム。American Elsevier、ニューヨーク、(1968)。
  26. ^ スコフィールド、ジャック(2003年3月10日)。「ロジャー・ニーダム」ガーディアン
  27. ^ バグチャーマー: ウェイバックマシン2013年11月2日にアーカイブされたパスワードの問題。Bugcharmer.blogspot.com(2012-06-20)。2013年7月30日に取得。
  28. ^ a b アレクサンダー、スティーブン。(2012-06-20)バグチャーマー:パスワードの長さはどれくらいですか? ウェイバックマシンで2012年9月20日にアーカイブされましたBugcharmer.blogspot.com。2013年7月30日に取得。
  29. ^ 「passlib.hash-パスワードハッシュスキーム」は、 WaybackMachineで2013年7月21日にアーカイブされました。
  30. ^ a b Florencio et al。、WaybackMachineでアーカイブされたインターネットパスワード調査の管理者ガイド 2015-02-14 (pdf)2015-03-14に取得。
  31. ^ クラッキングストーリー–1億2200万を超えるSHA1およびMD5ハッシュパスワードをクラッキングした方法«Thireus'Bl0gはWaybackMachine 2012年8月30日にアーカイブされました。Blog.thireus.com(2012-08-29)。2013年7月30日に取得。
  32. ^ a b モリス、ロバート&トンプソン、ケン(1979)。「パスワードセキュリティ:ケース履歴」ACMの通信22(11):594–597。CiteSeerX10.1.1.135.2097_ 土井10.1145 /359168.359172S2CID207656012_ 2003年3月22日にオリジナルからアーカイブされました  
  33. ^ Wayback Machineで2016年3月11日にアーカイブされた最新のオペレーティングシステムのパスワード保護 (pdf)。Usenix.org。2012年5月20日に取得。
  34. ^ WindowsがパスワードのLANマネージャーハッシュをActiveDirectoryおよびローカルSAMデータベースに保存しないようにする方法 2006年5月9日にWaybackMachineにアーカイブされました。support.microsoft.com(2007-12-03)。2012年5月20日に取得。
  35. ^ 「パスワードのセキュリティの質問を設定するときに嘘をつく必要がある理由」Techlicious。2013-03-08。2013-10-23にオリジナルからアーカイブされました2013年10月16日取得
  36. ^ a b ジョセフスタインバーグ(2014年11月12日)。「フォーブス:パスワードの選択について言われたことをすべて無視すべき理由」フォーブス2014年11月12日にオリジナルからアーカイブされました2014年11月12日取得
  37. ^ 「通常のパスワードの有効期限を強制することに関する問題」IAの問題。CESG:GCHQの情報セキュリティ部門。2016年4月15日。2016年8月17日のオリジナルからアーカイブ2016年8月5日取得
  38. ^ パスワードの変更に関するセキュリティの議論に関するSchneierは、 WaybackMachineで2010年12月30日にアーカイブされました。Schneier.com。2012年5月20日に取得。
  39. ^ セルツァー、ラリー。(2010-02-09)「アメリカンエキスプレス:強い信用、弱いパスワード」 ウェイバックマシンで2017Pcmag.com。2012年5月20日に取得。
  40. ^ ウェイバックマシン2016年1月28日にアーカイブされた「10のWindowsパスワード神話」:「NTダイアログボックス...パスワードを最大14文字に制限」
  41. ^ 「1〜​​8文字の長さのパスワードを入力する必要があります」Jira.codehaus.org。2012年5月20日に取得。2015年5月21日、 WaybackMachineでアーカイブ
  42. ^ 「キャピタライズするかしないか?」 ウェイバックマシンで2009年2World.std.com。2012年5月20日に取得。
  43. ^ Thomas、Keir(2011年2月10日)。「パスワードの再利用はあまりにも一般的です、調査結果」PCワールド2014年8月12日にオリジナルからアーカイブされました2014年8月10日取得
  44. ^ パウリ、ダレン(2014年7月16日)。「Microsoft:不正なパスワードが必要であり、それらを頻繁に再利用する必要があります」レジスター2014年8月12日にオリジナルからアーカイブされました2014年8月10日取得
  45. ^ Bruce Schneier: 2011年11月15日にウェイバックマシンでアーカイブされた暗号グラムニュースレター2001年5月15日
  46. ^ ウェイバックマシンで2016-01-28にアーカイブされた「10のWindowsパスワード神話」:神話#7。パスワードを書き留めてはいけません
  47. ^ Kotadia、Munir(2005-05-23)マイクロソフトのセキュリティの第一人者:パスワードを書き留めますNews.cnet.com。2012年5月20日に取得。
  48. ^ リチャードE.スミスによってウェイバックマシンで2010年7月18日にアーカイブされた「強力なパスワードのジレンマ」:「古典的なパスワード選択規則を次のように要約できます。パスワードは覚えることができず、決して書き留めてはいけません。」
  49. ^ ボブ・ジェンキンス(2013-01-11)。「ランダムパスワードの選択」2010年9月18日にオリジナルからアーカイブされました。
  50. ^ 「パスワードの記憶力とセキュリティ–いくつかの経験的結果」 2011年2月19日にウェイバックマシンでアーカイブ(pdf)
    「あなたのパスワード...あなたの財布や財布の後ろなどの安全な場所に。」
  51. ^ 「パスフレーズを書き留めるべきですか?」 ウェイバックマシンで2009年2World.std.com。2012年5月20日に取得。
  52. ^ Jaffery、Saman M.(2011年10月17日)。「調査:英国人の11%が意志にインターネットパスワードを含めています」ハル&ハルLLP。2011年12月25日にオリジナルからアーカイブされました2012年7月16日取得
  53. ^ ウェイバックマシン2016年6月18日にアーカイブされた2要素認証
  54. ^ Wayback Machine2013年6月20日にアーカイブされた標準化されたパスワードポリシーによるパスワード管理の使いやすさの向上 (pdf)。2012-10-12に取得。
  55. ^ a b ばかげたパスワードルールが嫌いですか?それらを作成した人ZDNetもそうです
  56. ^ これらのパスワードルールを書いた人には新しいヒントがあります:N3v $ r M1 ^ d!ウォールストリートジャーナル
  57. ^ a b 専門家は、私たちがついにそれらの愚かなパスワード規則を捨てることができると言いますフォーチュン
  58. ^ NISTの新しいパスワードルール–知っておくべきこと Naked Security
  59. ^ P.TsokkisおよびE.Stavrou、「不正なパスワード構築戦略に関するユーザーの意識を高めるためのパスワードジェネレータツール」、2018 International Symposium on Networks、Computers and Communications(ISNCC)、Rome、2018、pp。1-5、 doi 10.1109 /ISNCC.2018.8531061
  60. ^ 「パスワード」2007年4月23日にオリジナルからアーカイブされました2012年5月20日取得{{cite web}}:CS1 maint:bot:元のURLステータスが不明(リンクcs.columbia.edu
  61. ^ Schneier、 WaybackMachineで2008年9月23日にアーカイブされ実世界のパスワード。Schneier.com。2012年5月20日に取得。
  62. ^ MySpaceのパスワードは WaybackMachineで2014-03-29にアーカイブされました。Wired.com(2006-10-27)。2012年5月20日に取得。
  63. ^ 「CERTIN-98.03」1998-07-16 2009年9月9日取得
  64. ^ a b ウルビナ、イアン; デイビス、レスリー(2014年11月23日)。「パスワードの秘密の生活」ニューヨークタイムズ2014年11月28日にオリジナルからアーカイブされました。
  65. ^ 「消費者パスワードの最悪の慣行(pdf)」(PDF)2011年7月28日のオリジナルからアーカイブ(PDF)
  66. ^ 「NATOサイトがハッキングされた」レジスター2011-06-24。2011年6月29日にオリジナルからアーカイブされました2011年7月24日取得
  67. ^ 「最新のアンチセック攻撃で匿名のリーク90,000の軍事電子メールアカウント」2011-07-11。2017-07-14にオリジナルからアーカイブされました。
  68. ^ 「軍事パスワード分析」2011年7月12日。2011年7月15日にオリジナルからアーカイブされました。
  69. ^ 「パスワードを置き換える探求(pdf)」(PDF)IEEE。2012-05-15。2015-03-19のオリジナルからアーカイブ(PDF)2015年3月11日取得
  70. ^ a b "Gatesはパスワードの死を予測します"CNET2004-02-25。2015年4月2日にオリジナルからアーカイブされました2015年3月14日取得
  71. ^ Cryptology ePrint Archive:WaybackMachine で2006-06-14にアーカイブされたレポート2005/434eprint.iacr.org。2012年5月20日に取得。
  72. ^ T松本。H松本; 山田K&星野S(2002)。「指紋システムに対する人工の「グミ」指の影響」。ProcSPIE光学的セキュリティと偽造防止技術IV。4677275。Bibcode2002SPIE.4677..275M土井10.1117 /12.462719S2CID16897825_ 
  73. ^ イメージパスワードにAJAXを使用する– WaybackMachineで2006年6月16日にアーカイブされたAJAX セキュリティパート1/3waelchatila.com(2005-09-18)。2012年5月20日に取得。
  74. ^ バトラー、リックA.(2004-12-21)ウェイバックマシンでアーカイブされた2006-06-27の群衆の顔 mcpmag.com。2012年5月20日に取得。
  75. ^ グラフィカルパスワードまたはグラフィカルユーザー認証(GUA) 2009-02-21をWaybackMachineにアーカイブsearchsecurity.techtarget.com。2012年5月20日に取得。
  76. ^ Ericka Chickowski(2010-11-03)。「画像によって認証画像が変更される可能性があります」ダークリーディング。2010年11月10日にオリジナルからアーカイブされました。
  77. ^ 「ConfidentTechnologiesは、画像ベースの多要素認証を提供して、公開されているWebサイトのパスワードを強化します」2010-10-28。2010年11月7日にオリジナルからアーカイブされました。
  78. ^ ウェイバックマシンで2011年7月18日にアーカイブされた2次元キー(2Dキー)入力方法とシステムのユーザーマニュアル xpreeli.com。(2008-09-08)。2012年5月20日に取得。
  79. ^ Kok-Wah Lee「記憶に残る大きな秘密を作成する方法とシステムとその応用」特許US20110055585 ウェイバックマシン2015年4月13日にアーカイブ、 WO2010010430出願日:2008年12月18日
  80. ^ Kotadia、Munir(2004年2月25日)。「Gatesはパスワードの死を予測します」ZDNet 2019年5月8日取得
  81. ^ 「IBMは5年以内に私たちの生活を変える5つの革新を明らかにします」IBM。2011-12-19。2015年3月17日にオリジナルからアーカイブされました2015年3月14日取得
  82. ^ Honan、マット(2012-05-15)。「パスワードを削除する:文字列が私たちを保護できない理由」有線2015年3月16日にオリジナルからアーカイブされました2015年3月14日取得
  83. ^ 「Googlesecurityexec: 'パスワードは無効です'"。CNET。2004-02-25。2015-04-02オリジナルからアーカイブ。2015-03-14取得
  84. ^ 「大規模な認証」IEEE。2013-01-25。2015年4月2日にオリジナルからアーカイブされました2015年3月12日取得
  85. ^ ミムズ、クリストファー(2014-07-14)。「パスワードはついに死にました。これが私のものです」ウォールストリートジャーナル2015-03-13にオリジナルからアーカイブされました2015年3月14日取得
  86. ^ 「ロシアのクレデンシャルの盗難はパスワードが死んでいる理由を示しています」コンピュータの世界2014-08-14。2015年4月2日にオリジナルからアーカイブされました2015年3月14日取得
  87. ^ 「NSTICのヘッドジェレミーグラントはパスワードを殺したい」Fedscoop。2014-09-14。2015年3月18日にオリジナルからアーカイブされました2015年3月14日取得
  88. ^ 「仕様の概要」FIDOAlliance。2014-02-25。2015年3月15日にオリジナルからアーカイブされました2015年3月15日取得
  89. ^ 「パスワードの永続性を認める研究課題」IEEEセキュリティとプライバシー。2012年1月。 2015年6月20日のオリジナルからアーカイブ2015年6月20日取得
  90. ^ ボノー、ジョセフ; ハーレー、コーマック; Oorschot、Paul C. van; スタハノ、フランク(2012)。「パスワードを置き換えるための探求:Web認証スキームの比較評価のためのフレームワーク」テクニカルレポート-ケンブリッジ大学。コンピュータ研究所英国ケンブリッジ:ケンブリッジ大学コンピューター研究所。ISSN1476-2986 _ 2019年3月22日取得 
  91. ^ ボノー、ジョセフ; ハーレー、コーマック; Oorschot、Paul C. van; スタハノ、フランク(2012)。パスワードを置き換えるための探求:Web認証スキームの比較評価のためのフレームワークセキュリティとプライバシーに関する2012IEEEシンポジウム。サンフランシスコ、カリフォルニア州。pp。553–567。土井10.1109 /SP.2012.44

外部リンク