アカウント名:
パスワード:
パスワードの桁数を限定する理由がよくわかりませんよね。DB の定義を CHAR(8) にしてそのまま保存しているのでしょうか?ハッシュ化して保存するのであれば桁数なんて影響無いですし。
ちょっと不思議な出来事ですね。
うちの会社のイントラも、シングルサインオンが「セキュリティ向上のためにパスワードは8桁”ちょうど”だけに設定してください。」という謎システムになっています。情シスに「なんで8文字を超えたら駄目なのか?」と聞いても「セキュリティ上の理由でそうなってます」のコピペ回答しか返ってこず、しかたなく使ってますが…
「8文字を超えたら駄目なのか」じゃなくて「8文字以上が入力可能なシステムはむろんの事、8文字以下が入力可能なシステムよりもパスワードのバリエーションが少なく脆弱という見方も可能な状態なのだが、なぜセキュリティ向上などという嘘を付くのか」って聞いて見て欲しいな。# 任意のパスワードが設定可能な時点で、8文字以下もOKだと弱いパスワードで満足する奴が居るからって言い訳は通用しない。
8文字丁度なんて、攻撃する側からすればとても良い情報だよね。
そうでもない。
使える文字を ASCII 図形文字(英数記号と半角スペース)の 95 文字とすれば、
「8文字以下」が「必ず8文字」であった時に、少なくなるバリーションは、950 + 951 + 952 + .... + 957 = 70,576,641,626,496。減った割合は 70,576,641,626,496 / 6,704,780,954,517,120 = 1.05 %。 実は、大差ない。
「8文字以下」という事が分かっている事は大きな情報だけど、「必ず8文字」は意外にインパクトが小さい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
パスワードの桁数 (スコア:2)
パスワードの桁数を限定する理由がよくわかりませんよね。
DB の定義を CHAR(8) にしてそのまま保存しているのでしょうか?
ハッシュ化して保存するのであれば桁数なんて影響無いですし。
ちょっと不思議な出来事ですね。
Re: (スコア:0)
うちの会社のイントラも、シングルサインオンが
「セキュリティ向上のためにパスワードは8桁”ちょうど”だけに設定してください。」
という謎システムになっています。
情シスに「なんで8文字を超えたら駄目なのか?」と聞いても「セキュリティ上の理由でそうなってます」のコピペ回答しか返ってこず、
しかたなく使ってますが…
Re: (スコア:0)
「8文字を超えたら駄目なのか」じゃなくて「8文字以上が入力可能なシステムはむろんの事、8文字以下が入力可能なシステムよりもパスワードのバリエーションが少なく脆弱という見方も可能な状態なのだが、なぜセキュリティ向上などという嘘を付くのか」って聞いて見て欲しいな。
# 任意のパスワードが設定可能な時点で、8文字以下もOKだと弱いパスワードで満足する奴が居るからって言い訳は通用しない。
Re: (スコア:0)
8文字丁度なんて、攻撃する側からすればとても良い情報だよね。
Re:パスワードの桁数 (スコア:2)
8文字丁度なんて、攻撃する側からすればとても良い情報だよね。
そうでもない。
使える文字を ASCII 図形文字(英数記号と半角スペース)の 95 文字とすれば、
950 + 951 + 952 + .... + 958 = 6,704,780,954,517,120 通り。
「8文字以下」が「必ず8文字」であった時に、少なくなるバリーションは、950 + 951 + 952 + .... + 957 = 70,576,641,626,496。減った割合は 70,576,641,626,496 / 6,704,780,954,517,120 = 1.05 %。
実は、大差ない。
「8文字以下」という事が分かっている事は大きな情報だけど、「必ず8文字」は意外にインパクトが小さい。