アカウント名:
パスワード:
覚えきれない人のために下限は緩くしてもいいから、設定したい人のために上限をあげて欲しい
10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。
ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。
ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど
>ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
各行の動向 (スコア:2)
三菱東京UFJ:半角英数字・記号8~16桁。大文字と小文字を区別
三井住友:半角英数字4桁~8桁
ワンタイムパスワード:三井住友は無料配布、みずほは有料、三菱東京UFJは検討中。
パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
結果としてパスワードの使い回しが増えるかもしれません。
Re: (スコア:0)
覚えきれない人のために下限は緩くしてもいいから、
設定したい人のために上限をあげて欲しい
Re: (スコア:1)
10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。
マクロの基本は検索置換(by y.mikome)
Re: (スコア:0)
ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。
Re: (スコア:0)
ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど
Re:各行の動向 (スコア:1)
>ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。
今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。