最近、私はしばしばパスワードに関する私の考えを共有しています。 ここには、セキュリティの絶対的な基盤(オンラインアカウントを持っているすべての人が理解するパラダイム)があり、同時に、この問題に対するさまざまなサービスから根本的に異なるアプローチが見られます。 パスワードの複雑さの規則が厳しいものもあります。 その他の最大長は短いです。 クリップボードからのコピーを許可しないものもあります。 また、定期的にパスワードを変更するものもあります。 そのような不条理はどこにでもあります。
昨年、私は
現代の認証ガイドを書き、上記の要件の多くについて話しました。 特に、現代のアイデアがパスワードを使用した正しい作業に関する多くの伝統的なアイデアとどのように矛盾するかに注意を喚起しました。 その記事は、
NCSCとアメリカの
NIST 、英国のサイバーセキュリティセンターからのガイドを引用し、多くの古い神話を暴きます。 複雑さのルールを取り除き、長いパスワードを許可し、クリップボードからのコピーを禁止せず、パスワードの義務的な変更を拒否します。 しかし、
最小の長さに関しては何もありません、そしてこれは私がどの数が正しいのだろうと思いましたか?
「Hack Yourself First」クラスを実施したとき、
「正しいパスワードの最小長は?」という質問をした最初の人の1人でした。最小長の制約を使用して、データセットのサイズを小さくすることができます。 この問題について意見を述べる代わりに、私は最大のサイトでどのように起こっているかを確認することにしました。 トップ15に要約といくつかの追加コメントがあります。
グーグル
フェイスブック
説明は少し誤解を招くです。 パスワードは6文字
より長くする必要があると書かれています。 実際、6文字以上にする必要があります。
ウィキペディア
驚くべきことに、ウィキペディアには最小限の基準があります...キャラクターを指定するだけです。 それで十分です。
しかし、それはいまいましい、これはそれが以前だったものに対する重要な進歩です:
「少なくとも、ウィキペディアはセキュリティ上の理由から空のパスワードを放棄しました。」
Reddit
ヤフー
これを明示することなく、Yahooは最小長の基準を満たすために少なくとも8文字のパスワードを要求します。
アマゾン
Twitter
マイクロソフト
Instagram
Netflix
Netflixでは、わずか4文字の非常に短いパスワードを使用できます。 おそらくその理由の1つは、テレビのリモコンからのパスワード入力を簡素化することです。
LinkedIn
けいれん
Pornhub
イーベイ
イグル
まとめ
すべての結果を1つのテーブルにレイアウトしましょう。
| グーグル | 8 |
| フェイスブック | 6 |
| ウィキペディア | 1 |
| Reddit | 6 |
| ヤフー | 8 |
| アマゾン | 6 |
| Twitter | 6 |
| マイクロソフト | 8 |
| Instagram | 6 |
| Netflix | 4 |
| LinkedIn | 6 |
| けいれん | 8 |
| Pornhub | 6 |
| イーベイ | 6 |
| イグル | 6 |
びっくりした? 多くの人は、短いように見えるため、6文字のパスワードを選択します。 15サイト中9サイトは6文字のパスワードを許可し、4サイトは最低8文字を必要とし、最小制限が4文字のNetflixとWikipediaもあります。制限については言及しませんが...
いずれの場合も、パスワードの最小長は偶数です! あなたの意見では、すべての大きなプレーヤーが4、6、または8に着陸した場合、理想的な最小長を決定するプロセスは科学的にどの程度正当化されますか?5、7、9のいずれかで、美しい、素敵な、対称的な偶数しかありません。 観察からの洞察に満ちた最初の結論がここにあります-確かに科学は関与していません。
しかし、他にも何かがあり、現代のパスワードガイドでこの記事で何度も繰り返しました。今日の認証は、2行を比較するだけではありません。 最初はそうでした-ユーザー名とパスワードがあり、システムに保存されているものと一致した場合、システムに入ることが許可されました。 しかし、今ではそのようなアプローチからはほど遠い。
たとえば、2要素認証があります。 はい、
恐ろしいほどそれを使用する人はほとんどいませんが、今では大衆市場でのセキュリティ管理のための手頃な技術であり、5年前にも存在しなかったすべての種類のサービスにアクセスできます。 また、パスワードを選択する際のユーザーの行動をよりよく理解し始めています。 これがPwned Passwordsプロジェクトの要点です。人々が安っぽいセキュリティの決定を下すことを認識しています! 早い段階でそれらを識別し、人々が正しい選択をするのを助けましょう(つまり、「あなたは本当にそのようなパスワードを使うべきではありません...」)。
次に、他のユーザーのヒューリスティックに基づいたコントロールがあります。たとえば、ユーザーが通常とは異なる場所からログインしようとした場合に登録済みのメールアドレスで確認する要件です(Facebookがこれを行った方法を確認できます)。 新しいブラウザを使用する場合も同じです-これにより、信頼性が低下する可能性があり、追加の検証が必要です。 実際、「信頼」の前提全体は、アクセスを許可または拒否するという、このバイナリ状態から離れるときに特に重要になります。 Torを介して別のサイトにアクセスしてみてください-そして、あなたが人間であることを証明する必要があります。結局のところ、悪者は特に匿名ツールの使用を好むからです。
このすべてのポイントは、パスワードの最小長を見て、「いや、6文字、または4文字でも小さすぎます」と言うことができなくなったということです。なぜなら、認証スキームは2行を比較するだけではなく、 。 これは、これらの美しい偶数を使用することが常に正しいことを意味するものではありません-高度なツールを使用せず、文字列比較のみを使用するサイトがたくさんあります-しかし、これが思考の糧になることを願っています。
ああ、もしあなたが本当にパスワードの最小長が奇数であるサイトを見つけたら、以下にコメントを残してください。それは今私にとって興味深いものになったからです。