アカウント名:
パスワード:
アルファベットの大文字と小文字、更に数字と記号を含めた8文字以上のパスワードなら安全、という古からの安全神話。その安全神話によって思考停止しているので、最小8文字以上としながらも最大パスワード長は20文字以下しか認めないサイトのなんと多いことか・・・。20文字以下どころか、12文字以下しか認めない所の方が大半という体たらく。
パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。10代の若者に「パスワードを複雑化しろ」と要請するよりも、パスワードとして認められる最大長が20文字以下のクソサイトを吊るしあげる方が遥
パスワードの文字数制限が厳しいサイトって、いまだに DES ベースのアルゴリズムでハッシュ化しているんじゃないですかね? 「動いているシステムには触るな」を信じ続けて……。大手クレジットカード会社も、MUFGカード(4~8桁) とか NICOSカード (6~8桁) とか、酷い状況です。
前にもスラドで話題になりましたが [security.srad.jp]、「ランダムな英数記号8文字」 よりも 「ランダムな英単語4個」 の方が安全で覚えやすいのですから、こういったくだらないキャンペーンをやる前に、IPAにはシステム管理者にパスワードの文字数制限を緩和するよう啓蒙していただきたいです。
ランダムな英数記号8文字 : p$9hFh%Eランダムな英
クライアント証明書に…いやなんでもない
SSL v2に…いやなんでもない
> パスワードの最大文字数を増やそうって主張には同意なのですが、/.JにはまずSSL対応して欲しいです。
なんのために?って思ったけど、ログインするときセキュアじゃないのですね。なんで、セキュアじゃないのにログインしようとするのかわからない。
セキュアじゃないのにログインしておいて SSL対応して欲しいとかおかしいです。
…とかですかね。 気分的には「httpな掲示板で再編集用のパスワードを設定」しているような感じです。 全然セキュアでないけどまあ使うかみたいな。 どのみちSSL対応してもらった方が
とかメリットのが確実に多いので気長にSSL対応を待っているのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
逆に危険 (スコア:4, すばらしい洞察)
アルファベットの大文字と小文字、更に数字と記号を含めた8文字以上のパスワードなら安全、という古からの安全神話。
その安全神話によって思考停止しているので、最小8文字以上としながらも最大パスワード長は20文字以下しか認めないサイトのなんと多いことか・・・。
20文字以下どころか、12文字以下しか認めない所の方が大半という体たらく。
パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。
10代の若者に「パスワードを複雑化しろ」と要請するよりも、パスワードとして認められる最大長が20文字以下のクソサイトを吊るしあげる方が遥
IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:5, 参考になる)
パスワードの文字数制限が厳しいサイトって、いまだに DES ベースのアルゴリズムでハッシュ化しているんじゃないですかね? 「動いているシステムには触るな」を信じ続けて……。大手クレジットカード会社も、MUFGカード(4~8桁) とか NICOSカード (6~8桁) とか、酷い状況です。
前にもスラドで話題になりましたが [security.srad.jp]、「ランダムな英数記号8文字」 よりも 「ランダムな英単語4個」 の方が安全で覚えやすいのですから、こういったくだらないキャンペーンをやる前に、IPAにはシステム管理者にパスワードの文字数制限を緩和するよう啓蒙していただきたいです。
Re:IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:1)
Re:IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:1)
クライアント証明書に…いやなんでもない
Re: (スコア:0)
SSL v2に…いやなんでもない
Re: (スコア:0)
> パスワードの最大文字数を増やそうって主張には同意なのですが、/.JにはまずSSL対応して欲しいです。
なんのために?って思ったけど、ログインするときセキュアじゃないのですね。
なんで、セキュアじゃないのにログインしようとするのかわからない。
セキュアじゃないのにログインしておいて SSL対応して欲しいとかおかしいです。
Re:IPAは、パスワードの文字数制限を緩和するよう啓蒙すべき (スコア:1)
…とかですかね。
気分的には「httpな掲示板で再編集用のパスワードを設定」しているような感じです。
全然セキュアでないけどまあ使うかみたいな。
どのみちSSL対応してもらった方が
とかメリットのが確実に多いので気長にSSL対応を待っているのです。