アカウント名:
パスワード:
我が家にインターネットがやってきてから15年、一度もパスワード変えたことないけど、ハッキングとか一度もない他のサービスで同じパスワード使ってないのと、設定したIDもパスワードもぐちゃぐちゃだしな、あと営業に来た人が英語数字混ぜたのにしてと言ってたのが幸い
ハッキングとか一度もない
気づいてないだけとか。
#人ごとじゃない。
今回のが問題なのは変えていないことではなく、推測されやすいことですね。
最初の頃 nifty serve の初期パスワードが英単語二つひっつけたもので、辞書アタックで破りやすかったです。で、ある日一斉に「パスワード変えて下さい」通知が来てたっけ。
bluebird とかそうんな感じ。
複数の単語を(数字を間に挟んだりして)並べるというのは,マシンの能力が非常に低かった頃の忘れにくいパスワードを作る「お作法」ですねフロッピーがカッチンコッチン動いてた頃は大規模な辞書を持つわけにはいかなかったわけですが,プロセッサのクロックが上がってハードディスク内蔵のマシンも当たり前になるとセキュリティに関する常識もどんどん変化していくわけで,本当に昔話ですな
それのどこに問題が?
初期パスワードが推測されにくく、強度もあるものであれば問題じゃなかっただろうし認証システムの仕様上、平文保存は普通にあり得ます。
例えば、CRAM-MD5やAPOPは認証する側に平文がないと認証できません。Base64でDBに突っ込んであることも考えられますが、復号可能ということでは平文と何ら変わりません。
あくまで、今回の問題は推測されやすいパスワードがそのまま使われていたということでしょう。
> 設定したIDもパスワードもぐちゃぐちゃならまだしも「welkom01」では。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
そもそも変える必要あるの? (スコア:0)
我が家にインターネットがやってきてから15年、一度もパスワード変えたことないけど、ハッキングとか一度もない
他のサービスで同じパスワード使ってないのと、設定したIDもパスワードもぐちゃぐちゃだしな、
あと営業に来た人が英語数字混ぜたのにしてと言ってたのが幸い
Re:そもそも変える必要あるの? (スコア:2)
ハッキングとか一度もない
気づいてないだけとか。
#人ごとじゃない。
Re:そもそも変える必要あるの? (スコア:1)
今回のが問題なのは変えていないことではなく、
推測されやすいことですね。
Re:そもそも変える必要あるの? (スコア:3, 興味深い)
最初の頃 nifty serve の初期パスワードが英単語二つひっつけたもので、辞書アタックで破りやすかったです。
で、ある日一斉に「パスワード変えて下さい」通知が来てたっけ。
bluebird とかそうんな感じ。
Re: (スコア:0)
複数の単語を(数字を間に挟んだりして)並べるというのは,マシンの能力が非常に低かった頃の忘れにくいパスワードを作る「お作法」ですね
フロッピーがカッチンコッチン動いてた頃は大規模な辞書を持つわけにはいかなかったわけですが,プロセッサのクロックが上がってハードディスク内蔵のマシンも当たり前になるとセキュリティに関する常識もどんどん変化していくわけで,本当に昔話ですな
Re: (スコア:0)
Re: (スコア:0)
それのどこに問題が?
初期パスワードが推測されにくく、強度もあるものであれば問題じゃなかっただろうし
認証システムの仕様上、平文保存は普通にあり得ます。
例えば、CRAM-MD5やAPOPは認証する側に平文がないと認証できません。
Base64でDBに突っ込んであることも考えられますが、
復号可能ということでは平文と何ら変わりません。
あくまで、今回の問題は推測されやすいパスワードが
そのまま使われていたということでしょう。
Re: (スコア:0)
> 設定したIDもパスワードもぐちゃぐちゃ
ならまだしも「welkom01」では。