アカウント名:
パスワード:
パスワードは8文字以上で英数記号混在していて文字が1文字でも重複してはならずさらに毎月1回は変更を行い過去に使ったパスワードは使用できないのが当たり前。自宅と言えどもファイアーウォールは当たり前でログなんかは全て記録が当たり前、ウィルスチェックはファイアーウォールでのチェックとPC内でチェックの2重チェックは常識。
とかネタ的に考えた見たけど、ここになら普通にこういう人いそうですな。
# 啓蒙に関してはやりつづけるべきとは思うけど危険性を訴えるものは多いけど、実際の対応手順を初心者にもわかりやすく示したものってのは少ない気がする。
たぶん、そこまで厳しくすると、パスワードがabcd0001からabcd9999まで延々と続く事になるか、迂回ルートを探す事になるよね。と。
#というのをDQXでやらかした戦犯……#ワンタイムパスワードは最高じゃあ!
英数記号混在ですから、abc@0001からabc@9999とかになるでしょう。
で、これですら@入れたこと忘れて問い合わせ。
>文字が1文字でも重複してはならず
これはNG。設定可能なパターン数が各段に減る=攻撃の命中率が上がる。abc@123456789といったパスワードを量産させる圧力にもなる。
各n文字目に前回と同じ文字は不可っていう自分ルールで毎回決めているけどまずいかなあ。基本、パスワードはログインするたびに変えてる。あと1週間以上ログインしないときは、アカウントを無効化するか消す。
単純に辞書にある単語を、5個以上選ばせるとかの方が強いのでは、試行回数の制限がないなら、英数記号混在させても現実的な時間で力技で解読できてしまいますし、
iDoNotDoIt
5単語で構成されたそのパスワードは、2の55乗程度の強度があるので。ASCII印字可能文字をランダムに並べた8文字のパスワードより強固です一般的な言語で標準的に使われる単語数は2000語前後ですから、一語辺り2の11乗の強度を持ちます。
500語程度の辞書を使った攻撃は考慮しなくていいの?iDoNotDoItならそれで十分。単語の組み合わせで攻めるなら2000語の辞書は現実的ではない。
ネタ的というけれど実際ネタと思えない人もいるんだよね。今のパスワードのあり方としてはシステム側ユーザーの選択したパスワードを拒否しない。ログイン時に失敗したときは、その旨をユーザーに通知する。
利用者単語を選択しない無理のない範囲で長くする
ということだと思う。記号を混ぜなきゃならないとか、いろいろな文字を混ぜるなんてのはリソース足りなかった過去の話でしょ。あと、短期間に、かつ、定期的にパスワードを変更するのも無意味それよりも、設定するパスワード毎に同じものを使わないことが重要。
>記号を混ぜなきゃならないとか、いろいろな文字を混ぜるなんてのはリソース足りなかった過去の話でしょ。
違う。計算リソースが有り余るほどになって総当たりが容易になったから、文字種を混ぜてパターンを増やす必要がある。文字数を長くするのも、増え続ける計算リソースに対抗するため。
>あと、短期間に、かつ、定期的にパスワードを変更するのも無意味>それよりも、設定するパスワード毎に同じものを使わないことが重要。
同じものを使わないのは重要だが、前者は僕の考えた最強の~と変わらん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
もちろん (スコア:2)
パスワードは8文字以上で英数記号混在していて文字が1文字でも重複してはならずさらに毎月1回は変更を行い過去に使ったパスワードは使用できないのが当たり前。
自宅と言えどもファイアーウォールは当たり前でログなんかは全て記録が当たり前、ウィルスチェックはファイアーウォールでのチェックとPC内でチェックの2重チェックは常識。
とかネタ的に考えた見たけど、ここになら普通にこういう人いそうですな。
# 啓蒙に関してはやりつづけるべきとは思うけど危険性を訴えるものは多いけど、実際の対応手順を初心者にもわかりやすく示したものってのは少ない気がする。
Re:もちろん (スコア:2)
たぶん、そこまで厳しくすると、パスワードがabcd0001からabcd9999まで延々と続く事になるか、
迂回ルートを探す事になるよね。と。
#というのをDQXでやらかした戦犯……
#ワンタイムパスワードは最高じゃあ!
Re: (スコア:0)
英数記号混在ですから、
abc@0001からabc@9999
とかになるでしょう。
で、これですら@入れたこと忘れて問い合わせ。
Re: (スコア:0)
>文字が1文字でも重複してはならず
これはNG。
設定可能なパターン数が各段に減る=攻撃の命中率が上がる。
abc@123456789といったパスワードを量産させる圧力にもなる。
Re: (スコア:0)
各n文字目に前回と同じ文字は不可っていう自分ルールで毎回決めているけどまずいかなあ。
基本、パスワードはログインするたびに変えてる。あと1週間以上ログインしないときは、アカウントを無効化するか消す。
Re: (スコア:0)
単純に辞書にある単語を、5個以上選ばせるとかの方が強いのでは、
試行回数の制限がないなら、英数記号混在させても現実的な時間で力技で解読できてしまいますし、
Re: (スコア:0)
iDoNotDoIt
Re: (スコア:0)
iDoNotDoIt
5単語で構成されたそのパスワードは、2の55乗程度の強度があるので。
ASCII印字可能文字をランダムに並べた8文字のパスワードより強固です
一般的な言語で標準的に使われる単語数は2000語前後ですから、一語辺り2の11乗の強度を持ちます。
Re: (スコア:0)
500語程度の辞書を使った攻撃は考慮しなくていいの?iDoNotDoItならそれで十分。単語の組み合わせで攻めるなら2000語の辞書は現実的ではない。
Re: (スコア:0)
ネタ的というけれど実際ネタと思えない人もいるんだよね。
今のパスワードのあり方としては
システム側
ユーザーの選択したパスワードを拒否しない。
ログイン時に失敗したときは、その旨をユーザーに通知する。
利用者
単語を選択しない
無理のない範囲で長くする
ということだと思う。
記号を混ぜなきゃならないとか、いろいろな文字を混ぜるなんてのはリソース足りなかった過去の話でしょ。
あと、短期間に、かつ、定期的にパスワードを変更するのも無意味
それよりも、設定するパスワード毎に同じものを使わないことが重要。
Re: (スコア:0)
>記号を混ぜなきゃならないとか、いろいろな文字を混ぜるなんてのはリソース足りなかった過去の話でしょ。
違う。
計算リソースが有り余るほどになって総当たりが容易になったから、文字種を混ぜてパターンを増やす必要がある。
文字数を長くするのも、増え続ける計算リソースに対抗するため。
>あと、短期間に、かつ、定期的にパスワードを変更するのも無意味
>それよりも、設定するパスワード毎に同じものを使わないことが重要。
同じものを使わないのは重要だが、前者は僕の考えた最強の~と変わらん。
Re: (スコア:0)
短期間かつ定期的ってのが秒単位ならそれでもいいでしょうがね