ちょっと前に書いた三井住友銀行のネットバンクで、新トークンの利用開始に伴って、パスワードが強制的に数字4桁にされてしまう件ですが、7月5日付けでようやく改善され英数字4〜8文字のパスワードが使用できるようになりました。要は改悪前の状態に戻ったということになります。
まずは一安心ですが、どうせ仕様変更するなら英数字16文字くらいまで使えるようにはしてほしかったと思います。
英数字8桁あればブルートフォース系の攻撃に対しては(少なくとも今のところは)安全であると理解しています。しかし、最近は、あるネットサービスで流出したパスワードリストを使って別サービスで使う攻撃が出てきています。これだとサービス間で同じパスワードを使っていれば、何桁であろうが危険です。
上記攻撃に対しては、サービスごとに違うパスワードを使えというのが正しい回答だと思いますが、実際には無数のサービス全部で違うパスワードを使うのは困難ですね。こういう時には、8文字の(辞書攻撃に対して強い)パスワードに対してサービスごとに自分で決めたID(たとえば、twitterであればt)を付加して使うと便利です(パスワードリスト型攻撃に対しては多少脆弱になると言われればそうなのですが)。なので、パスワードの桁数は9桁以上であってほしいのです。
ネットバンクの場合は、メールアドレスをIDとして使うことはないので、外部サービスで流出したパスワードリストで攻撃されることはあまりないとは思いますが、気持ちの問題です。
投稿のフィード