パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

金銭が絡むサイトに対し8文字未満のパスワードを設定できなくするよう情報処理推進機構が呼びかけ」記事へのコメント

  • みずほ:半角英数6桁~32桁。大文字・小文字が判別
    三菱東京UFJ:半角英数字・記号8~16桁。大文字と小文字を区別
    三井住友:半角英数字4桁~8桁

    ワンタイムパスワード:三井住友は無料配布、みずほは有料、三菱東京UFJは検討中。

    パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
    結果としてパスワードの使い回しが増えるかもしれません。
    • by Anonymous Coward on 2014年08月19日 8時50分 (#2659164)

      覚えきれない人のために下限は緩くしてもいいから、
      設定したい人のために上限をあげて欲しい

      親コメント
      • 10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。

        --
        マクロの基本は検索置換(by y.mikome)
        親コメント
        • by Anonymous Coward

          ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。

          • by nim (10479) on 2014年08月19日 19時57分 (#2659730)

            いやや、ハッシュにかけていればこそ、最大文字数の制限がある必要はないんだよね。
            元コメントはそれを指摘している。

            #まあ、HTTP POST なので1GBとかあるとアレだけど。

            親コメント
          • by Anonymous Coward

            ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの

            てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど

            • by nim (10479) on 2014年08月19日 20時00分 (#2659733)

              >ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの

              別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。
              今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。

              親コメント
      • by Anonymous Coward

        記号が使えないのがイラッとする。パスワードを長くせずに強度を上げる効果的な手段なのに。

        • by Anonymous Coward

          不正処理のリスクを考えると記号は扱いづらい。
          英字大文字小文字、数字まで許可しているならば少々文字数増やすより、
          桁数を1桁でも増やすほうが明らかに(組み合わせ数が爆発的に増える)有効。

          • by Anonymous Coward

            アカウントで記号禁止はともかく、パスワードで記号禁止しないとリスクになるってどういうこと?

            桁数増やすほうが効果的なのは同意。

            • by Anonymous Coward on 2014年08月19日 14時40分 (#2659496)

              インジェクションなんかを防ぐ為のエスケープ処理にバグを入れかねないのでやりたくないって話でしょ。
              上にもある、技術力のなさって奴なんじゃないの。
              桁数増やす方が効果的とかでなく、両方やればより効果的なんだから、やらない理由がない。

              親コメント
          • by Anonymous Coward

            いいえ、文字種を増やす方が有効ですよ

          • by Anonymous Coward

            その辺よくわからないが、まとめてハッシュするんだから、文字種なんでもよくね?
            個人的には、日本語さえありだと思ってる。パスワード入力(マスクかかるあれ)に対応してないのが残念だけど。

          • by Anonymous Coward

            こういうタイプ [slashdot.jp]の人ですか?

          • by Anonymous Coward

            不正処理のリスクって何のこと? まさかをクォートしないとCSSの脆弱性があるとかいう意味じゃないよね。
            それに、辞書攻撃に強くなるんだから、組み合わせ数だけで計れるわけじゃないことくらいわかるでしょ。

        • by Anonymous Coward

          すくなくとも、記号を入れることを強制されるくらいなら使えない方がマシ。
          各サービスで違うパスワードをつかえということは、必然的に規則に従って頭の中で作るということになる。
          (全部を覚えるのは普通の人には到底無理だから)
          その時、基準が違うのは結局忘れるということ。

          スマホだとかで入れにくいし、記号なしで統一してもらう方がありがたい。できれば8文字なんてケチなことは言わず、32-128文字くらい入れられるようにみんな変えてほしい。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...