アカウント名:
パスワード:
辞書に載っている単語と空白を組み合わせただけの覚えやすい8語のパスフレーズのほうが、ランダムな英数字8文字よりはるかに破りにくい
本これ。せめて身の周りからでも環境を良くしようと、私は自分が設計に携わるシステムでは数文字、十数文字なんて短い制限はしません。ただしもちろん、明確な入力の上限は付けています。漫然と長くすると、数千文字の入力でログイン機構を迂回できちゃったXboxのバグみたいなのも起こりうるので。
ふっかつのじゅもんがちがいます
> 辞書に載っている単語と空白を組み合わせただけの覚えやすい8語のパスフレーズのほうが、> ランダムな英数字8文字よりはるかに破りにくい
いや、同じレベルだろう。辞書に載っている単語だとそのほうが多少早いかもしれない。
ランダム英数8文字: 62^8単語8個: 少なくとも数千^8ですから、まるっきり違いますよ?
問題は、例えシステムが受け入れてくれたにしても、そんな長いパスワードを入れるのは面倒だということです。特にキーボードがない時は。
今回の統計の話のように「複数ワードのパスフレーズ解析が効率的」という話になれば、攻撃者もランダム英数字のパスワードと同じ方法のクラックは試さないんじゃないですかね。
WindowsよりMac OS Xが安全、くらいの意味しかないかと。
#横からな上に若干オフトピですが元コメント#2799815にあるパターン数の意味を理解されていないように思います。ここでの例はすでに 完全ランダムな、大文字小文字を区別する英数字8文字 vs (例えば)数千種類の単語を持つ辞書から8単語抽出になっている、つまりパスフレーズを利用する例では「複数ワードのパスフレーズ解析が効率的である」と判明した世界になっていて、それでもなおパスフレーズの方がクラック耐性的には格段に有利だという話になっています。文字通りケタ違いです。
#1000単語から5個の方が英数8文字より強い#それはそれとして入力が面倒くさい問題は解決難しそう
~\;|_辺りが苦行ですね。iPhoneは入れ方分からなかった。ソニーはキーボードインストール必要っぽい。ノキアは特に何もしなくても入れられる。
単語8個
→せいぜい3か4じゃね? 現実的に入力できる長さって
62(大文字小文字+数字)の8乗と、少なくとも1000かそこらの8乗が同じレベルとは、ずいぶんとまた斬新なご意見ですなあ。もちろん、1語目は代名詞、2語目は動詞の可能性が高いとか、それこそ統計的な手法である程度は狭められるだろうけど、それにしても比べものにならんだろ。
うむ。8つ単語を並べよう!って言われたとたんone two three four five six seven eightとTo be To be Ten made To Beのどちらにしようかなーって考えちゃうようなおっちょこちょいさんなのかもしれない。
> コピペ禁止と称してパスワード管理ソフトの利用さえも間接的に禁止している。JavaScriptをオフにすればどうということはないし、別にパスワード管理ソフトも使えるよね、自動で入力してくれるんだから。
ところで、「2要素証可能なパスワード管理ソフト」って具体的にどんなの?2要素認証だから、Webサービスということは分かるけど、ローカルのファイルで管理ではなく、Webサービスを推奨する理由って何だろう。
とりあえずUFJ使うのやめよう
都市銀行3社は二段階認証ワンタイムパスワードカード出してるからさっさと入手しろよMUFGとSMFGはチャレンジレスポンスになっていないのがちょっと残念だが
> ジャップの常識は世界の非常識を体現した悲しい現実。
って言いたいだけなんだろ?w
> # 彼はまだその狂ったセキュリティポリシーを貫いているんだろうか?
人を小馬鹿することがたのしいんですね?
ここにも某国人がいるのか…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
そんなことより文字数制限をどうにかしろと何度言ったら (スコア:2, すばらしい洞察)
辞書に載っている単語と空白を組み合わせただけの覚えやすい8語のパスフレーズのほうが、ランダムな英数字8文字よりはるかに破りにくい
Re:そんなことより文字数制限をどうにかしろと何度言ったら (スコア:2)
本これ。
せめて身の周りからでも環境を良くしようと、私は自分が設計に携わるシステムでは数文字、十数文字なんて短い制限はしません。
ただしもちろん、明確な入力の上限は付けています。漫然と長くすると、数千文字の入力でログイン機構を迂回できちゃったXboxのバグみたいなのも起こりうるので。
Re: (スコア:0)
ふっかつのじゅもんがちがいます
Re: (スコア:0)
> 辞書に載っている単語と空白を組み合わせただけの覚えやすい8語のパスフレーズのほうが、
> ランダムな英数字8文字よりはるかに破りにくい
いや、同じレベルだろう。辞書に載っている単語だとそのほうが多少早いかもしれない。
Re: (スコア:0)
ランダム英数8文字: 62^8
単語8個: 少なくとも数千^8
ですから、まるっきり違いますよ?
問題は、例えシステムが受け入れてくれたにしても、そんな長いパスワードを入れるのは面倒だということです。
特にキーボードがない時は。
Re:そんなことより文字数制限をどうにかしろと何度言ったら (スコア:1)
今回の統計の話のように「複数ワードのパスフレーズ解析が効率的」という話になれば、
攻撃者もランダム英数字のパスワードと同じ方法のクラックは試さないんじゃないですかね。
WindowsよりMac OS Xが安全、くらいの意味しかないかと。
Re: (スコア:0)
#横からな上に若干オフトピですが
元コメント#2799815にあるパターン数の意味を理解されていないように思います。
ここでの例はすでに
完全ランダムな、大文字小文字を区別する英数字8文字
vs
(例えば)数千種類の単語を持つ辞書から8単語抽出
になっている、つまりパスフレーズを利用する例では「複数ワードのパスフレーズ解析が
効率的である」と判明した世界になっていて、それでもなおパスフレーズの方が
クラック耐性的には格段に有利だという話になっています。
文字通りケタ違いです。
#1000単語から5個の方が英数8文字より強い
#それはそれとして入力が面倒くさい問題は解決難しそう
スマホだと (スコア:0)
~\;|_辺りが苦行ですね。
iPhoneは入れ方分からなかった。
ソニーはキーボードインストール必要っぽい。
ノキアは特に何もしなくても入れられる。
Re: (スコア:0)
単語8個
→せいぜい3か4じゃね? 現実的に入力できる長さって
Re: (スコア:0)
62(大文字小文字+数字)の8乗と、少なくとも1000かそこらの8乗が同じレベルとは、ずいぶんとまた斬新なご意見ですなあ。
もちろん、1語目は代名詞、2語目は動詞の可能性が高いとか、それこそ統計的な手法である程度は狭められるだろうけど、それにしても比べものにならんだろ。
Re: (スコア:0)
うむ。
8つ単語を並べよう!って言われたとたん
one two three four five six seven eight
と
To be To be Ten made To Be
のどちらにしようかなーって考えちゃうようなおっちょこちょいさんなのかもしれない。
Re:そんなことより文字数制限をどうにかしろと何度言ったら (スコア:1)
> コピペ禁止と称してパスワード管理ソフトの利用さえも間接的に禁止している。
JavaScriptをオフにすればどうということはないし、
別にパスワード管理ソフトも使えるよね、自動で入力してくれるんだから。
ところで、「2要素証可能なパスワード管理ソフト」って具体的にどんなの?
2要素認証だから、Webサービスということは分かるけど、
ローカルのファイルで管理ではなく、Webサービスを推奨する理由って何だろう。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
とりあえずUFJ使うのやめよう
Re:そんなことより文字数制限をどうにかしろと何度言ったら (スコア:1)
もっといいところあるぞという話ならついでに教えて欲しい…。
Re: (スコア:0)
都市銀行3社は二段階認証ワンタイムパスワードカード出してるからさっさと入手しろよ
MUFGとSMFGはチャレンジレスポンスになっていないのがちょっと残念だが
Re: (スコア:0)
> ジャップの常識は世界の非常識を体現した悲しい現実。
って言いたいだけなんだろ?w
> # 彼はまだその狂ったセキュリティポリシーを貫いているんだろうか?
人を小馬鹿することがたのしいんですね?
Re: (スコア:0)
ここにも某国人がいるのか…