アカウント名:
パスワード:
許容される記号、数字、英字大文字小文字を交えた8ケタ以上のパスワードとか言われると、本当に困る時がある。
記憶できないから、結局、テキストに保存する事になって本末転倒だし。
お客が設定した緩いパスワードによる脆弱性を考えると、メールアドレス=IDってまずい気がするんだけど。それ以外のIDって不便なんだよねぇ…
> 記憶できないから、結局、テキストに保存する事になって本末転倒だし。
むしろ積極的にテキストに保存して、そのテキストを強いパスワードと暗号で暗号化すべきだと思いますよ。
# Adobe の件は「守るべき価値に相応わしい強度のパスワードが使われていた」に一票
アカウントの一覧は紙に作っておいた方がいいよ。書き出しておけば、パスワードの漏洩の際にはパスワードの変更漏れを防げるし、パスワードを記憶のみに頼ることが無謀ということに気が付くから
紙に書いておけばネットワーク越しにクラックされることはないでしょうしねいや,カメラ対策に点字にするべきか…
一覧は要るに同意。パスワード記憶としてだけでなく、ほぼ死んでるアカウントとか、どこにどの名前、メアド、電話番号、リマインダが登録されてるか、簡単に追跡できるようにしておいた方がいい。電話番号変える時とかの影響がよく見える。メモする習慣ができてしまえば項目増やす手間はどうって事無いから。
辞書に乗ってる単語複数でいいよ、文字種かえんのはほぼ意味ない、辞書攻撃は単語一つにはまあ有効だけど、複数になるとほぼ無力、
hashcat-plusには辞書単語結合攻撃標準搭載されてますぜ。結合は確かに基本単語を絞る必要はありますがね、悪いことは言いませんから3つ以上にしといた方がね、あんたのためですよ。
実際「よく知られた単語の組み合わせとかばっかで解読余裕でした^^」ということのようだし。普通の人が思いつける単語なんてせいぜい数千語だからASCII文字のランダムな組み合わせ2文字程度のエントロピーしかない。2つ組み合わせて4文字、3つでも6文字。一般的な単語をどうしても使うなら「パスフレーズ」くらいには長くしないと話にならんわな。
>「パスフレーズ」くらいには長くしないと話にならんわな。
「黄昏よりも暗きもの(略)」「我は放つ光の(略)」「ザーザードザーザード(略)」あたりが特定の世代で頻出するようになるんですねわかります。
社内のシステムなんかだと、有効期限2ヶ月、過去10回分は再利用できない、10文字以上の英・数・記号の最低ひとつずつ入れる、みたいに強すぎるセキュリティポリシーがあって、正直うざい。ルールを満たすパスワードを10個作るエクセルシートを作っておいて、二ヶ月にいちど、10回のパスワード変更後に元のパスワードに戻す日があったりして…。パスワード変更が24時間とか一定時間内に1回しか出来ないシステムだとそれもダメけど…。
そして使われる「Abcdefg!01」~「Abcdefg!99」ループ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
パスワード辞書に載ってる単語はまずいと思うけど (スコア:3, 興味深い)
許容される記号、数字、英字大文字小文字を交えた8ケタ以上のパスワードとか言われると、本当に困る時がある。
記憶できないから、結局、テキストに保存する事になって本末転倒だし。
お客が設定した緩いパスワードによる脆弱性を考えると、メールアドレス=IDってまずい気がするんだけど。
それ以外のIDって不便なんだよねぇ…
Re:パスワード辞書に載ってる単語はまずいと思うけど (スコア:1)
> 記憶できないから、結局、テキストに保存する事になって本末転倒だし。
むしろ積極的にテキストに保存して、そのテキストを強いパスワードと暗号で暗号化すべきだと思いますよ。
# Adobe の件は「守るべき価値に相応わしい強度のパスワードが使われていた」に一票
お前は今まで作ったアカウントの数を覚えているのか? (スコア:0)
アカウントの一覧は紙に作っておいた方がいいよ。書き出しておけば、パスワードの漏洩の際にはパスワードの変更漏れを防げるし、パスワードを記憶のみに頼ることが無謀ということに気が付くから
Re:お前は今まで作ったアカウントの数を覚えているのか? (スコア:1)
紙に書いておけばネットワーク越しにクラックされることはないでしょうしね
いや,カメラ対策に点字にするべきか…
Re: (スコア:0)
一覧は要るに同意。
パスワード記憶としてだけでなく、ほぼ死んでるアカウントとか、どこにどの名前、メアド、電話番号、リマインダが登録されてるか、
簡単に追跡できるようにしておいた方がいい。電話番号変える時とかの影響がよく見える。
メモする習慣ができてしまえば項目増やす手間はどうって事無いから。
Re: (スコア:0)
辞書に乗ってる単語複数でいいよ、文字種かえんのはほぼ意味ない、辞書攻撃は単語一つにはまあ有効だけど、複数になるとほぼ無力、
Re: (スコア:0)
hashcat-plusには辞書単語結合攻撃標準搭載されてますぜ。結合は確かに基本単語を絞る必要はありますがね、悪いことは言いませんから3つ以上にしといた方がね、あんたのためですよ。
Re: (スコア:0)
実際「よく知られた単語の組み合わせとかばっかで解読余裕でした^^」ということのようだし。
普通の人が思いつける単語なんてせいぜい数千語だからASCII文字のランダムな組み合わせ2文字程度のエントロピーしかない。2つ組み合わせて4文字、3つでも6文字。一般的な単語をどうしても使うなら「パスフレーズ」くらいには長くしないと話にならんわな。
Re:パスワード辞書に載ってる単語はまずいと思うけど (スコア:1)
>「パスフレーズ」くらいには長くしないと話にならんわな。
「黄昏よりも暗きもの(略)」
「我は放つ光の(略)」
「ザーザードザーザード(略)」
あたりが特定の世代で頻出するようになるんですねわかります。
Re: (スコア:0)
社内のシステムなんかだと、有効期限2ヶ月、過去10回分は再利用できない、10文字以上の英・数・記号の最低ひとつずつ入れる、みたいに強すぎるセキュリティポリシーがあって、正直うざい。ルールを満たすパスワードを10個作るエクセルシートを作っておいて、二ヶ月にいちど、10回のパスワード変更後に元のパスワードに戻す日があったりして…。パスワード変更が24時間とか一定時間内に1回しか出来ないシステムだとそれもダメけど…。
Re: (スコア:0)
そして使われる「Abcdefg!01」~「Abcdefg!99」ループ