あとは、ハッシュジェネレータをどこで動かすのか、という問題。昔はどこでも*nixなりDOSなりPerlを動かせる環境があったのでPerlスクリプトなハッシュパスワード計算機で問題なかったし、 Windows Mobile(W-ZERO3)の頃は頑張って自作アプリを作る元気があったんですが… Androidなタブレットを使うようになってからは、自宅サーバにhttpsなハッシュパスワード生成CGIを動かしてます。 まあ、普段はブラウザのパスワードマネージャ任せで、このCGIの出番は滅多にないんですけど、セキュリティ的には弱いよなぁと常々思ってます。
ハッシュ化すればいい (スコア:0)
換字式でパスワードを作る時代は終わった
適当なキーワードとパスワードをくっつけてハッシュ化
これ最強
Re: (スコア:0)
例外が多すぎて使い物にならない
Re: (スコア:0)
覚えられるのなら、本当に大分強いと思ったんだけど
使い物にならないという理由をもう少し、詳しく聞かせて。
例外が多すぎて、とはどういう意味?
Re:ハッシュ化すればいい (スコア:1)
私はかれこれ10年ぐらい前からパスワードをハッシュ生成する方法 [srad.jp]を実践していますが、この方法で困るのが、「ハッシュ生成した文字列がパスワードとして使えなかった場合」の対応方法ですね。
滅多にないんですが、運悪く「アルファベット小文字と数字」なパスワードを生成してしまい、しかもそのパスワードを使いたいシステムが「大文字小文字数字の3種取り混ぜたパスワードじゃないとダメ」なシステムだったりとか。
(そんなん滅多にないだろ、と言われそうですが、サイト側のパスワード可能文字数に基づいて生成したハッシュを切り出すので、8文字パスワードだとたまにでくわします。まあ、ここ10年間で2サイトほどですが。これは個別例外処理してしまってます。)
あとは、ハッシュジェネレータをどこで動かすのか、という問題。昔はどこでも*nixなりDOSなりPerlを動かせる環境があったのでPerlスクリプトなハッシュパスワード計算機で問題なかったし、
Windows Mobile(W-ZERO3)の頃は頑張って自作アプリを作る元気があったんですが…
Androidなタブレットを使うようになってからは、自宅サーバにhttpsなハッシュパスワード生成CGIを動かしてます。
まあ、普段はブラウザのパスワードマネージャ任せで、このCGIの出番は滅多にないんですけど、セキュリティ的には弱いよなぁと常々思ってます。
Re: (スコア:0)
> パスワードとして使えなかった場合
サービス名+パスワード要件、をジェネレータの入力にして、
パスワード要件を満たすまでハッシュをストレッチしてくとか。
> ハッシュジェネレータをどこで動かすのか
マイコンでキーボードデバイス作ってそこで実行とかやるとロマンありそうな気がします!