パスワード、AIなら7時間で解読されてしまうことが明らかに😅顔認証が最強なん🤔 [669127462]
■ このスレッドは過去ログ倉庫に格納されています
AIによるパスワードの解析時間をセキュリティ会社が公開。8桁なら7時間以内に解析完了
調査ではAIによるパスワードの生成/解析ツールとして「PassGAN」を例に挙げ、実際に漏洩したパスワードリストを学習/解析させたうえで1,568万個のパスワードを評価した結果、「一般的なパスワード」のうち51%を1分以内、65%を1時間以内、71%を1日以内、81%を1カ月以内に推測できたとしている。
https://news.yahoo.co.jp/articles/f78ed53a91957c1fa8312ff4fdf0709f02e512c9 >>1
ずーっと間違ったパスワード入力し続けられる前提だろ?
普通ロックされね? 楽天でお買い物いっぱいできるね!!
つーか今日日二要素認証ないの楽天くらいのもんじゃね 3回間違えたらロックされますを突破できるのかすげーな! >>6
>実際に漏洩したパスワードリスト
大半がロクでもないパスワードなんでしょ そこで俺が唱えてた本人おちんちん画像認証の登場ですよ(アウト) 実際にログイン画面からのログインを試行した場合に7時間で突破できたとはどこにも書いてなくね?
実際に悪用される場合はウェブアプリの脆弱性と組み合わせての話になるだろ
そのうち脆弱性自体もAIで解析可能になるんだろうな
そしたらセキュリティ評価会社どうなんだろ パスワードとか顔認証か指紋認証オンリーでええやん
文字列とか数字とかアルファベットとか必要か? shinzoabe
とかにしてるやつは
shinzあたりまで解析できれば残りはAIが察してしまうということだ >>15
この文字数パソコンの性能上がるにつれて増えてきてニンゲンには対応できなくなるわ 80%ぐらいのパスワードは意味のある文字列+α程度の強度だったって事だろう
人間側の問題だよ 辞書攻撃使ったハッシュ照合なら昔と状況変わってない気が 総当たりは大昔からあるんだから試行回数に制限掛けないサイト側の怠慢が問題だろ >>15
マンマンバーは大文字と数字のみでそれ以下の桁までだからな
ガチで馬鹿が作ってる国 出来るけどやらないだけ
包丁で人を殺せますと言われても「で?」としか思わんだろ AIでそっくりな顔とか描かれたら終わりなのかな?
そうするとマイナンバーカードとかマジで危なくないか? >>22
指紋が1番ヤバいぞ寝てる間にスマホ見られて浮気現場押さえられた 1234
password
9999
0721
114514
4649
shinzo_abe
嫌儲民のパスワードならこれで突破できそう ソースにちゃんと書いてあるけどパスワードって複雑性じゃなくて単純に長ければ長いほど強いから15文字以上にすれば良いだけ AI「すまん、“インターネット”をもう全解析した。俺が知らないフリ辞めたら人類終わるけどどうする?」 >>36
ジャップのサイトは8文字までで入力してくださいとか言われるんだw ロックかかるかどうかは置いといて8桁でも意外と時間かかるんだな 集積したものをそのままや類似パス入力か
癖が分かれば分けなくと
漏れることを前提として対策しないとな
ワンタイムパス強制になっとたわMMOの新作
超めんどいw 今ですらAIAIって騒いでるけど3年後とかどうなってるんだろうな
進化速度すさまじいから想像つかないレベルになってそうで怖いわ パスワードはランダム生成して手書きのメモに残すのが一番安全やな 2段階認証がある時点でパスワード突破したところでどうにもならんと思うがな パスワードに記号使えないとこは舐めてんのかって思うわ いつも使ってるパスワード+そのサイトを区別するアルファベットって感じにしてるわ p@ssW0rdみたいなのは従来の手法だとそれなりに堅牢だったけどAIにかかれば推測容易ってことなんだろうな >>42
確実に言えるのはインターネットで大金持ちになったり、YouTubeでお金持ちになったり、仮想通貨でお金持ちになったりした人がいるみたいに、AIで大金持ちになってる人が出てきてるだろうね >>35
abe0721shinzo4545
だから無駄だ 住所と電話番号の文字列をパスワードに入れてるわ
手軽に長くなるし忘れない 顔→描ける
指紋→描ける
声→出せる
暗号→解ける
みんなルパンさ めんどくさいから30文字ぐらいランダム生成させて保存させればいいだろ
分からなくなったら、どうせ携帯認証とメール認証で初期化出来るんだし zipファイルのパスワードを知るために
1から順に試してるだけなんじゃねーの この内容ならランダム8桁ですらもっとかかるって事だろ とあるおじさんのパスワードを入力して結果を試さずに候補を1−3個(ロックされる閾値)に絞れるなら驚異だな というのかpc専用のは海外勢に解かれにくいから漢字認証にして欲しいわ
英数と違ってパターンむちゃくちゃあるし、何年もかかる 総当たりを英語で何て言うのか忘れた
・ブルートゥースアタック
・ブルーフォースアタック
・ブルートフォースアタック 以前どのぐらいかかっていたという情報が無い
前からある手口とどのぐらい変わったんだよ 10年くらい放置してるzipファイルも解析してくれ 最近、パスワード忘れて仕方ないわw
全部、Face IDにしてくれ 英数大文字代表記号合わせても、100パターンしかないだろうに >>61
マルチバイト化になるだけで複雑性跳ね上がるよな 毎日AIで全パスワード変換すればいいんじゃないのか >>14
8桁のパスより簡単だろ
短小包茎なんだから適当なのでもバレない 量子コンピューターとAIちゃんがタッグを組んだら人間滅ぶんじゃね 一般的なパスワードってなんだよ
passwordとかか? 証券会社がハッキングされて全員の保有株を成り行きで売る注文出したりしたらどうなるんだろと考えてた時期があった abeshinzoかshiunindenにしている 顔認証は顔登録してんだからそっち抜かれておしまいやろ 0-9a-zA-Zの順で総当たりするからabeは何分もかからないな
意味のないパスワードだよ 強度を試せるって言うからいつも生成してるのと同程度のを入れてみたらこんなもんだしなんか変える必要はないな
https://i.imgur.com/4sRYwEJ.png 8桁とか使ってるやついないやろと思ったけどジャップのサイトだと10桁までとか異常に少ないのを指定してくるのごく稀ににあるんだよな大手でも
ああゆうのは解析する前提の犯罪企業なんだと思ってる >>80
クレカの番号がたくさん手に入ったら、よく使われるパスワードを2回全部のカード番号に使ったら何個ぐらい解除されるんだろうな
数字4桁だから当選確率高そう 8桁の脆弱なパスを使ってるかもわからん相手に1人7時間もリソース割いてとけなかったらあきらめて次にいってなんてことにはならんよな
なんらかの要因でターゲットになるんでもなきゃ無差別に狙われることはなさそうだ これAI使わずにもとのリスト頻出順にソートして比較するだけでもっと速くなりそう >>84
最小限の識別に必要な要素で構成された顔ですらない画像で認証突破してきそう zipみたいなローカルで試行できるパスワードはヤバいが、webサイトのパスワードなら途中でロックかかるはず 俺「まぁランダムな16文字でええやろ」
ジャップのクソサイト「パスワードが長すぎます」 グーグルの自動生成したやつしか使ってないけど、グーグルが漏洩したらまず終わりだが、そんなことはまずないと高をくくってる 未だに総当たりにロック掛けないようなシステムあったらAIとか関係ないしな これなに?
パスワード生成ツールは逆にAIに弱いってこと? >>6
このソースからなんでそういう疑問が湧くのか
まったく理解してないかガイジなのか >>99
8桁でもほぼ問題ないって記事だからありえるよ
パスの強度もわからん無作為な相手に7時間もリソース割く意味がないからね これ詳しくないんだけどどういう意味?
合ってるか間違ってるかは、ひたすら成否を試すしか確認方法はないとおもうんだけど、そんなことしてたらパスワードがロックされるだろ?
それをくぐり抜けるには、ほぼ一発で正解を推定しないといけないってことなんだけど? >>97
Chromeとかそこらのブラウザでも漏洩チェックしてお前のパス漏洩してるから変えろって出るしたしかmozillaが自分のアカウントが漏洩データにあるか確認できるサイト作ってんぞ この記事では定期的にパスワード変更を推奨してるのな
あれ意味あったのか
本人そっくりのモデルを作って、カメラに直接データ送っちゃえば
顔認証も意味ないんちゃうの
指紋認証も、指紋情報抜き出して3Dプリンタで指のモデル作れば突破できるわけやん >>103
ないので原則としては変えない方針になった 漢字平仮名片仮名を使えるようにするだけでめっちゃ頑強になりそうだけど >>91
何らかの理由でグーグルの垢バンされたら、詰むじゃん >>15
3ヶ月毎に以前と異なるパスワードに変更してください >>103
意味はあるが、運用次第で逆効果にもなるから、推奨されなくなった >>107
それはパスワードを長くするというのと同じ
だが飛躍的に強固になるわけではない
漢字の文字コードは当然決まっているのだから
「『ABC』っていうパスワードを『DDDDDEEEEEFFFFF』にしたら安全になる」って言ってるようなもん
同じ15桁を使うのなら『5ru@*Bn8$3c9zK4』みたいなランダム配列のほうがよっぽど強固 ケンモメンが使ってるパスワード
"Abeshinzo"が入ってる確率
メッチャ高そう >>112
漢字の種類が段違いだから強固になるよ
ここでいう桁数というのは表示上の話だろうし
15文字の漢字は早々突破できない
まあバイト数制限なんかゴミプログラマがかけて
上限が低く設定されるだろうが >>114
なんで15文字の漢字の話になってんだまったく理解してねーじゃねーか
ランダムよりも漢字のほうが優れてるのは
「人間が記憶しておきやすい」ただその1点だ 最新のUNICODEはv9.1で文字数は128,172で、このうち漢字の文字数は、 CJK統合漢字(20,941)、拡張A(6,582)、拡張B(42,711)を合わせた 70,234 である。
1文字100パターンぐらいのABCと同じっていう感覚がわからん
言うほどすべての漢字を登録して1文字ずつ総当たりするのと同じか? まあ漢字が使えたとしてお前らは安倍の戒名にして簡単に突破されるだろう >>61
アイデアは良いと思うけれど、昔々 MS-DOS の時代、
漢字 FEP が諸々の制約で使えず、漢字ファイル名で
保存したファイルのアクセスに四苦八苦した記憶が
あるので、いまいち乗り気になれない。 >>31
ICチップという物理的なセキュリティがあるからだろ(笑) >>116
長いパスワードと同じ効果があって人間が記憶しやすいとかメリット十分じゃないですか
漢字二文字の組み合わせって英数字の何文字くらいになるんだろ 対象がzipみたいなローカルファイルなら量子コンピュータだったら、並列化してたらすぐに帰ってくるかも
企業サーバー宛なら応答速度でロックなしでも気の遠くなる話だけど 例えば攻撃対象がケンモメンだとわかってれば覚えやすいAbsnz0708とかのパスを効率的に割り出してくるんだろ
完全にランダム生成だとパスワードにも嗜好が反映されないから安全だけど覚えるには向いてない 人間側が常に合わせるようじゃ日本は中々浸透しないな
高齢者ばっかだし
サポートとか手間減るのを期待しない?普通
性能でごまかすな
何回で突破できたかいえ ブルートフォースなんて古典的なものを今更AI(笑)なんて言われてもな ログイン認証系は3回程度でロックされるのが多い
がファイルにかけられたのはロック無いよね 20年前のアングラサイトで落ちてたような総当たり解読ツールでも掲示板の暗号化されたパスワードとかはだいたい1日でとけてた
当時のすぐ落ちるウィンドウズ98をつかってもそうだったのに今のPC使って総当たりしたら、そら解けてあたりまえなのでは >>123
UTF-8 では漢字などは概ね 3 バイトで表現され
有効ビットは 16 ビットらしい。
すると 2 文字の場合、組み合わせは
(2^16)^2 = 2^32 = 2^(7*4+4)。
一方、従来のアルファベット記号は 1 バイトで
有効ビットは 7 ビットだから N 文字とした場合の
組み合わせパターンは (2^7)^N = 2^(7N)。
5 文字より、ちょっと少ないくらいの組み合わせ数か。
意外に少なかった。入力しやすいとか、人間が覚えられる
という条件を付与したら、辞書攻撃で陥落しそうな印象。 >実際に漏洩したパスワードリストを学習/解析
ようは人間が考えたパスワードやろ
ランダムパスワードなら傾向もクソもない >>90
それに「アルファベットと 0 から 9 以外の文字は使えません」が
組み合わせで出てきた時の悲しさというか、詰んだ感というかは
なんとも表現し難いものがある。 辞書アタックの誤字脱字まで総当りさせる程度のプログラムのどこに「AI」要素があるのか謎 連続で失敗したらログアウト食らうんだし何ら実用性ないやん 有名な企業だったり軍事施設ならともかくたかが個人のパソコンのパスワードに7時間もかけてられるかよ >>134
めんどくさい計算ありがとうございます なるほど、だから漢字パスワードは採用されないのか となると頑強なパスワードを作るならいっそ入力しないというのはどうだろうか
『現在の体重は?』の問いに対しては何か入力するのではなく予め指定しておいた体重計に乗る みたいな
秘密の質問に対してテキストで答えるのではなく実際に人間が動くことで解除されるシステム
仮に攻撃者がパスを知っていてもそれが 全裸になり白目を剥き自分の尻を叩きつつ『びっくりするほどユートピア』と叫びながらベッドを昇降する だった場合手出し出来ないのだから 冗談で書いたけどカメラに特定のポーズをとるって実際使えるんじゃね?
人間単体だと総当たり可能かもだけど家にある物を組み合わせたら想定不可能だろ いまだに16ビットで全部処理できると思ってるんだな
DB入れる時に変換漏れバグが発生しそう >>142
例えば>>134の試算を考えるとパスワードを岸田文雄にしたら単純にアルファベット10文字分ということになる
けど岸田文緒をアルファベットにするとKishida humioで11文字
ほぼ同じなんだね パスワードをマルチバイトなんて却下だよ
UTF8主流になるちょっと前までのガラケー時代は3キャリアの文字コード分かれてて、更に絵文字は各社ばらばらだったんだよ
・ドコモ/au携帯:Shift-JIS
・ソフトバンク携帯:UTF-8
DBにある絵文字コード表を更新して保守し
ユーザーから入力された絵文字を変換または除去する処理をかけて面倒だった >>147
他サイトとパスワードの使い回しせずに
パスワード長を英数記号ランダムで30文字くらいにしておけば特に心配することはない 今は端末に覚えさせておけばいいから人間が覚えてなくていいしパスワードの長さなんて気にならんけどな
別端末でログインするときだけちょっとめんどくさいけど
そもそもそこまでするくらいなら最初からMFAでいいっすーってなるから入口なんてSSOでいいわ 実家で使ってるプロバイダメールがやばい
実家に帰る度にこんなパスワード長の糞メール使うなって言ってるのに俺の親や兄家族はその内変えると言って数年経過してる…
糞田舎に留まる人は頭も悪い
t-comメール仕様
https://service.t-com.ne.jp/mail/password_change/index
メールパスワードに使用できる文字 半角数字と半角英小文字(a~z)の組合せ
メールパスワードの長さ 6文字以上8文字以内
t-com WEBメールログイン
https://webmail.t-com.ne.jp/
ID:メールアドレス
PW:メールパスワード(6文字以上8文字以内の半角英数字) ■ このスレッドは過去ログ倉庫に格納されています