パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「最強のパスワード復元ソフト」がオープンソースに」記事へのコメント

  • 復元されたくないパスワードのハッシュ化には、ちゃんとパスワード用のハッシュ関数(scryptやLyra2など)を使いましょう。
    SHA-2やSHA-3などの一般的なハッシュは、高速に計算できることを目的として作られているので、GPUによる力技の解読に弱いです。

    • 冗談でもそこはWhirlpool [wikipedia.org]とか言っておこうよ。
      # SHA3-512の強度が心配だとすると、ブロック暗号もAES-256ではなくBlowfish-448を使うとか他にも工夫しないといけなくなる…
      • 申し訳ありません、「パスワードのハッシュ化」という前提を忘れていました。
        ただ、ユーザー様が設定したパスワードが「PassWard0」とか「$123456$」だった場合は、多くのサービスで「強い」と判定されたパスワードが実は脆弱な場合も [readwrite.jp]ありますので、
        1回のハッシュ化に10分費やしたとしても1日に144回試行できるわけで、出回っている辞書を使えば1ヶ月で解かれてしまうと思います。
        • 度々申し訳ありません、下書きを送信してしまいました。

          タレコミ主としてはこの手のツールがもっと広まって、パスワードやハッシュ化の強度が見直されれば良いなぁと思います。

          とのことを踏まえつつ、パスワード認証にセキュリティを求めること自体が困難だということを表現したかったのです。
          # サービス側もパスワードや2段階認証ではなく、RSAやECDSAによる電子署名を用いた相手認証によるログインを提供して欲しい。

Stableって古いって意味だっけ? -- Debian初級

処理中...