アカウント名:
パスワード:
$ for i in {1..6}; do echo "幼女「$(tr -dc _0-9a-zA-Z </dev/urandom |head -c8)」"; done
幼女のフリをして2ドル頂く。ロリコンをターゲットにした新手の詐欺ですね。
# どこにも被害者がいない(感動)
6文字のパスワードではなく、単語6個のパスフレーズですよ?
「debug-livre-stew-tog-pobox-foss」みたいな感じのです。
「Diceware」の仕様は公開されており、単語1個作るのに5回サイコロを振らないといけない [std.com]ので、30回もサイコロを振る必要があります。1回あたりにすると約7セントですので、お得だと思います。
あと、幼女のフリをしたおっさんが暗号論的擬似乱数生成器を使う詐欺であれば確かに実害はないかもしれませんが、もしサイコロを振るのが面倒になった幼女が seed を UNIX時間にして乱数を発生させるようなコードを自分で書いて使ってしまったら、脆弱で推測可能なパスフレーズによって重大な被害が生じてしまう恐れがあります。
# 勿論、幼女に十分なセキュリティ知識があれば seed を時刻にして乱数を発生させるようなことにはなりませんが、子供は「とりあえず動けば良い」という考えでコーディングしがちなので注意が必要なのです。
それから、下請けに丸投げを始めてしまうケースも要注意だ。
6ワードのフレーズを生成して郵送するという用途なら,時間を seed にしてもそこそこ使えると思います。
rand(3) の下位ビットを使うのに比べれば。 [srad.jp]
そこそこ使えると思います。
幼女が寝ていると思われる時間と学校に行っていると思われる時間を排除すると1日10時間ぐらいになるので、UNIX時間は1日あたり 36,000 通りしかありません。過去1年以内に作られたものとしても、1300万通りぐらいです。これは、ランダムな英大文字・英小文字・数字の4桁のパスワード(It8A など)よりも弱い強度です。
認証の試行・失敗回数が制限・記録されておらず、かつストレッチングを行っていないWebシステムであれば、秒間20回ぐらいログイン試行しても管理者が気が付かないことがあるので(最近では格安レンタルサーバでもその程度のアクセス数であれば 503エラーが発生しないことが多く、最近はアクセス解析もサーバのログからではなくGoogleアナリティクスとかを使っているサイト管理者が多いのでJavaScriptを無効にしている不審アクセスに気が付きにくい)、Webシステムに使った場合であっても、1週間ぐらいでクラックされそうです。
TrueCrypt や ZIP・RAR・ワード・エクセル・パワーポイントファイルの暗号化に使っていた場合や、パスワードハッシュが漏えいしている場合には、オフライン攻撃が可能なのでもっと素早く解析されてしまい、パスフレーズとしての意味がなさないレベルです。
このように、乱数の種にUNIX時間を使うというのは、現実的な脅威といえます。
rand(3) の下位ビットを使うのに比べれば。
確かに、それに比べればかなりマシですね……。
「次のダイス目が偶数か奇数か推測できる」ボードゲームなんて、論外です。
おまわりさんこいつです
攻撃してみた/できたって話でもないのに何言ってんだ。攻撃を受ける事態を想定するってのはセキュリティの基本なんだが…あんたみたいな奴がノーガード戦法をブチかますんだろうな。失せろ雑魚。
幼女の生態を考察してるから変態扱いされただけだぞw熱くなってバカジャネーノ
うーん?、単語リストが無い状態でもそうかな?単語リストが割れてない状態だと1300万通りなんてもんじゃなくなるけど。
あ、必ずしもリンク先のリストを使わなければならない理由は無いと思うので、この少女が自前でリストを作ってるとしたらだけど。
> もしサイコロを振るのが面倒になった幼女が seed を UNIX時間にして乱数を発生させるようなコードを自分で書いて使ってしまったら、
それはそれでスンゴイですが、#2907303氏の挙げるurandomの使い方を手取り足取り…お巡りさん、オレです。
またお前か(誰だよ
子供は「とりあえず動けば良い」という考えでコーディングしがちなので注意が必要なのです。
うお。なんてこった。まわりは子供だらけだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
こういうことですねわかります (スコア:0)
幼女のフリをして2ドル頂く。
ロリコンをターゲットにした新手の詐欺ですね。
# どこにも被害者がいない(感動)
幼女がサイコロを振る手間を惜しんだときの方が怖い (スコア:2)
6文字のパスワードではなく、単語6個のパスフレーズですよ?
「debug-livre-stew-tog-pobox-foss」みたいな感じのです。
「Diceware」の仕様は公開されており、単語1個作るのに5回サイコロを振らないといけない [std.com]ので、30回もサイコロを振る必要があります。1回あたりにすると約7セントですので、お得だと思います。
あと、幼女のフリをしたおっさんが暗号論的擬似乱数生成器を使う詐欺であれば確かに実害はないかもしれませんが、もしサイコロを振るのが面倒になった幼女が seed を UNIX時間にして乱数を発生させるようなコードを自分で書いて使ってしまったら、脆弱で推測可能なパスフレーズによって重大な被害が生じてしまう恐れがあります。
# 勿論、幼女に十分なセキュリティ知識があれば seed を時刻にして乱数を発生させるようなことにはなりませんが、子供は「とりあえず動けば良い」という考えでコーディングしがちなので注意が必要なのです。
Re:幼女がサイコロを振る手間を惜しんだときの方が怖い (スコア:1)
それから、下請けに丸投げを始めてしまうケースも要注意だ。
Re: (スコア:0)
6ワードのフレーズを生成して郵送するという用途なら,時間を seed にしても
そこそこ使えると思います。
rand(3) の下位ビットを使うのに比べれば。 [srad.jp]
オンライン攻撃でも1週間でクラックされるぐらい危険 (スコア:2)
幼女が寝ていると思われる時間と学校に行っていると思われる時間を排除すると1日10時間ぐらいになるので、UNIX時間は1日あたり 36,000 通りしかありません。過去1年以内に作られたものとしても、1300万通りぐらいです。これは、ランダムな英大文字・英小文字・数字の4桁のパスワード(It8A など)よりも弱い強度です。
認証の試行・失敗回数が制限・記録されておらず、かつストレッチングを行っていないWebシステムであれば、秒間20回ぐらいログイン試行しても管理者が気が付かないことがあるので(最近では格安レンタルサーバでもその程度のアクセス数であれば 503エラーが発生しないことが多く、最近はアクセス解析もサーバのログからではなくGoogleアナリティクスとかを使っているサイト管理者が多いのでJavaScriptを無効にしている不審アクセスに気が付きにくい)、Webシステムに使った場合であっても、1週間ぐらいでクラックされそうです。
TrueCrypt や ZIP・RAR・ワード・エクセル・パワーポイントファイルの暗号化に使っていた場合や、パスワードハッシュが漏えいしている場合には、オフライン攻撃が可能なのでもっと素早く解析されてしまい、パスフレーズとしての意味がなさないレベルです。
このように、乱数の種にUNIX時間を使うというのは、現実的な脅威といえます。
確かに、それに比べればかなりマシですね……。
「次のダイス目が偶数か奇数か推測できる」ボードゲームなんて、論外です。
Re: (スコア:0)
おまわりさんこいつです
Re: (スコア:0)
攻撃してみた/できたって話でもないのに何言ってんだ。
攻撃を受ける事態を想定するってのはセキュリティの基本なんだが…
あんたみたいな奴がノーガード戦法をブチかますんだろうな。失せろ雑魚。
Re: (スコア:0)
幼女の生態を考察してるから変態扱いされただけだぞw
熱くなってバカジャネーノ
Re: (スコア:0)
うーん?、単語リストが無い状態でもそうかな?
単語リストが割れてない状態だと1300万通りなんてもんじゃなくなるけど。
Re: (スコア:0)
あ、必ずしもリンク先のリストを使わなければならない理由は無いと思うので、この少女が自前でリストを作ってるとしたらだけど。
Re: (スコア:0)
> もしサイコロを振るのが面倒になった幼女が seed を UNIX時間にして乱数を発生させるようなコードを自分で書いて使ってしまったら、
それはそれでスンゴイですが、#2907303氏の挙げるurandomの使い方を手取り足取り…
お巡りさん、オレです。
Re: (スコア:0)
またお前か(誰だよ
Re: (スコア:0)
Re: (スコア:0)
うお。なんてこった。まわりは子供だらけだ。