アカウント名:
パスワード:
元のパスワードに戻せるので元の木阿弥です(・3・)あるぇ~?
それ以前に、いいかげん「英数字のみで10文字まで」って何とかしてほしい……
文字数を妙に短く制限するところ、記号を使わせないところって多いけど、どうしてなの?ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。
普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前になってるので、入力文字列はなんでもいいはずなんだけどね。もちろん、マルチバイトでも。文字コードは注意が必要だろうけど。特に日本のお固い業界(銀行などの金融機関)が、文字種・文字数制限が多いイメージ。一般の人が使用する率が高いからかな?そう考えると、いまだに銀行のキャッシュカードのパスワードが数字4桁っていうのもね。
普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前
チャレンジ/レスポンス認証 [e-words.jp]方式の全否定ですね。
普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前チャレンジ/レスポンス認証方式の全否定ですね。
チャレンジ/レスポンス認証方式の全否定ですね。
設計の新しいチャレンジ/レスポンス認証方式、例えばHTTPのDigest認証などは「「「パスワードのハッシュ」+チャレンジ」のハッシュ」を比較するので、サーバ側に生のパスワードを持っておく必要はありません。
APOPみたいなサーバ側で生のパスワードを保持しなきゃならないような古くさいタイプのチャレンジ/レスポンス方式は、否定しちゃっても問題ないと思う。
「パスワードハアンゴウカ」だけを意味もわからず呪文のごとく唱えまくった結果がごらんのありさま。「サニタイズ」を呪文のように唱えまくった結果パスワードに意味不明な文字種制限がつきましたとさ、とまったく同じ構造の問題なのだが少しは応用力とか抽象化の能力とかないものだろうかね。Cargo cult security (日本語にすると「鰯の頭セキュリティ?」)もいい加減にしてもらいたいもんだ
私が普段使ってる銀行のネットログインパスワードが数字のみ4桁です。デフォルトでソフトウェアキーボード使用を推奨されますが・・・
心配するところ、そこじゃないだろ?十八銀行!!!キーロガーとか入ってないよ。。。お願いですから英数記号で10文字以上にしてください。#どこの会社だよ、こんなクソ仕様を提案したの
SMBCもだよorz預金少な目にしたよ。
某ネットバンキング 数字4桁某ネットショップ 英数字8桁某ネットゲーム 英数字12桁秘密のあのフォルダ 256bit AES
SMBCはワンタイムパス無料にした [smbc.co.jp]のでそれ使えばいいのよ?
知らなかった。早速申込んだ。ありがと(^^)そしてSMBCご免なさいm(__)m
ハッシュするのが当たり前っていうけど、某金融機関の仕様書には「暗号化する」って書いてあったんだが
ほ、ほらきっと一方向暗号とかそういうのだから(震え声)
そこで金融機関の名称を書いてくれないと避けられないじゃん。使えねーACだな
お前の口座より、自分の首の方が大事なんだ。すまんな。犠牲になってくれ。
>パスワードはソルト付でハッシュ化するのが当たり前認証統合(AD LDAP shibboleth など)環境だとそうもいかない場合がある頭が痛い
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
初期化パスワードは勝手に決められますが……… (スコア:1)
元のパスワードに戻せるので元の木阿弥です(・3・)あるぇ~?
Re: (スコア:2, すばらしい洞察)
それ以前に、いいかげん「英数字のみで10文字まで」って何とかしてほしい……
Re: (スコア:1)
文字数を妙に短く制限するところ、記号を使わせないところって多いけど、どうしてなの?
ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。
Re:初期化パスワードは勝手に決められますが……… (スコア:0)
普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前になってるので、
入力文字列はなんでもいいはずなんだけどね。もちろん、マルチバイトでも。文字コードは注意が必要だろうけど。
特に日本のお固い業界(銀行などの金融機関)が、文字種・文字数制限が多いイメージ。
一般の人が使用する率が高いからかな?
そう考えると、いまだに銀行のキャッシュカードのパスワードが数字4桁っていうのもね。
Re:初期化パスワードは勝手に決められますが……… (スコア:2)
普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前
チャレンジ/レスポンス認証 [e-words.jp]方式の全否定ですね。
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
設計の新しいチャレンジ/レスポンス認証方式、例えばHTTPのDigest認証などは「「「パスワードのハッシュ」+チャレンジ」のハッシュ」を比較するので、サーバ側に生のパスワードを持っておく必要はありません。
APOPみたいなサーバ側で生のパスワードを保持しなきゃならないような古くさいタイプのチャレンジ/レスポンス方式は、否定しちゃっても問題ないと思う。
Re: (スコア:0)
「パスワードハアンゴウカ」だけを意味もわからず呪文のごとく唱えまくった結果がごらんのありさま。
「サニタイズ」を呪文のように唱えまくった結果パスワードに意味不明な文字種制限がつきましたとさ、とまったく同じ構造の問題なのだが少しは応用力とか抽象化の能力とかないものだろうかね。
Cargo cult security (日本語にすると「鰯の頭セキュリティ?」)もいい加減にしてもらいたいもんだ
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
私が普段使ってる銀行のネットログインパスワードが数字のみ4桁です。
デフォルトでソフトウェアキーボード使用を推奨されますが・・・
心配するところ、そこじゃないだろ?十八銀行!!!
キーロガーとか入ってないよ。。。
お願いですから英数記号で10文字以上にしてください。
#どこの会社だよ、こんなクソ仕様を提案したの
破られて困るパスワードほど文字制限がきついって法則でもあるのか? (スコア:1)
SMBCもだよorz
預金少な目にしたよ。
某ネットバンキング 数字4桁
某ネットショップ 英数字8桁
某ネットゲーム 英数字12桁
秘密のあのフォルダ 256bit AES
Re:破られて困るパスワードほど文字制限がきついって法則でもあるのか? (スコア:2, 参考になる)
SMBCはワンタイムパス無料にした [smbc.co.jp]のでそれ使えばいいのよ?
Re:破られて困るパスワードほど文字制限がきついって法則でもあるのか? (スコア:1)
知らなかった。
早速申込んだ。ありがと(^^)
そしてSMBCご免なさいm(__)m
Re: (スコア:0)
ハッシュするのが当たり前っていうけど、
某金融機関の仕様書には「暗号化する」って書いてあったんだが
Re: (スコア:0)
ほ、ほらきっと一方向暗号とかそういうのだから(震え声)
Re: (スコア:0)
そこで金融機関の名称を書いてくれないと避けられないじゃん。使えねーACだな
そうは言っても (スコア:1)
お前の口座より、自分の首の方が大事なんだ。
すまんな。犠牲になってくれ。
Re: (スコア:0)
>パスワードはソルト付でハッシュ化するのが当たり前
認証統合(AD LDAP shibboleth など)環境だと
そうもいかない場合がある
頭が痛い