アカウント名:
パスワード:
昔話は盛り上がってもらっていいとして、
>アルファベット小文字だけのパスワードは簡単に推測される可能性があるため危険、というのは昨今では十分広がっていると思うが今の常識は文字種増やすより文字数増やした方が安全、では。
まぁ確かに「記号まで含めて8文字以内」とかより「アルファベット大文字小文字と数字で256文字以内」とかの方が覚えやすくて安全なパスワードを選べますよね。
#マイクロソフトアカウントも最大文字数を64文字くらいまでに増やしてくれんかのぉ…。
パスワードを例えば一文字ずつ送るようにすれば、文字数の上限を無くすのは容易だろうなって。
バックスペースとかデリートとかの制御キー押下もパスワードの一部になったりして。
今でもログインプロンプトでバックスペース押しても直前の文字の取り消しと認識されないような。シリアルコンソールにtelnet経由でログインするときはいつもイラっとくる。
backspaceやdeleteや改行文字の扱いで揉めそうです。
#や@、-、_、\、+、*などの記号と同程度に揉めそうではある。
通信でそれすると暗号化を破れなくても文字数が予測できる可能性が出てきてイヤンな感じに。
文字種は多項式オーダーでしか効かないけど、文字数は指数オーダーで効く、という話でしょう。例えば 95 の 8 乗 < 62 の 9 乗。
推測可能性(ブルートフォース的な)云々はあんまり関係なくて我々は「ハッシュはふつうにダダもれする」そして500円もらえる、という世界に生きているだから昔話じゃないけど、サイトごとにパスワード変える、パスワードはエージェントに覚えておいてもらうというオーソドックスな手法しかないんじゃないだろうか
基本のパス"フレーズ"に、サイトの頭文字を後ろにnずらした文字を足す、ぐらいで実用上十分な気もする// そして合併等で変更されるサイト名
一文字記号を含む条件を与えるだけで強度が跳ねあがるのだから、覚えて使うパスワードは記号を馴染ませる価値がある。
でももうパスワードは覚えてなんとかなる時代ではないのか。
>一文字記号を含む条件を与えるだけで強度が跳ねあがるのだから
こういう誤解はいつまで続くんだろうなぁ。
アルファベット大文字小文字+数字計62種 = 5.95ビット記号を含む0x33-0x7eまでのprintableな文字94種 = 6.58ビット
記号を入れたところで1文字あたり0.6ビットしか強度は上がらない。パスワード長10文字で6ビットの増加で、英数のみでパスワードを1文字長くするのと同じ効果しかない。
失礼、log(94)/log(2)は6.58じゃなくて6.55でした。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
今は (スコア:1)
昔話は盛り上がってもらっていいとして、
>アルファベット小文字だけのパスワードは簡単に推測される可能性があるため危険、というのは昨今では十分広がっていると思うが
今の常識は文字種増やすより文字数増やした方が安全、では。
Re:今は (スコア:1)
まぁ確かに「記号まで含めて8文字以内」とかより「アルファベット大文字小文字と数字で256文字以内」とかの方が覚えやすくて安全なパスワードを選べますよね。
#マイクロソフトアカウントも最大文字数を64文字くらいまでに増やしてくれんかのぉ…。
Re:今は (スコア:2)
パスワードを例えば一文字ずつ送るようにすれば、文字数の上限を無くすのは容易だろうなって。
Re: (スコア:0)
バックスペースとかデリートとかの制御キー押下もパスワードの一部になったりして。
Re: (スコア:0)
今でもログインプロンプトでバックスペース押しても直前の文字の取り消しと認識されないような。シリアルコンソールにtelnet経由でログインするときはいつもイラっとくる。
Re: (スコア:0)
backspaceやdeleteや改行文字の扱いで揉めそうです。
Re:今は (スコア:2)
#や@、-、_、\、+、*などの記号と同程度に揉めそうではある。
Re: (スコア:0)
通信でそれすると暗号化を破れなくても文字数が予測できる可能性が出てきてイヤンな感じに。
Re: (スコア:0)
文字種は多項式オーダーでしか効かないけど、文字数は指数オーダーで効く、という話でしょう。例えば 95 の 8 乗 < 62 の 9 乗。
Re:今は (スコア:1)
推測可能性(ブルートフォース的な)云々はあんまり関係なくて
我々は「ハッシュはふつうにダダもれする」そして500円もらえる、という世界に生きている
だから昔話じゃないけど、サイトごとにパスワード変える、パスワードはエージェントに覚えておいてもらう
というオーソドックスな手法しかないんじゃないだろうか
Re: (スコア:0)
基本のパス"フレーズ"に、サイトの頭文字を後ろにnずらした文字を足す、ぐらいで実用上十分な気もする
// そして合併等で変更されるサイト名
Re: (スコア:0)
一文字記号を含む条件を与えるだけで強度が跳ねあがるのだから、覚えて使うパスワードは記号を馴染ませる価値がある。
でももうパスワードは覚えてなんとかなる時代ではないのか。
Re: (スコア:0)
>一文字記号を含む条件を与えるだけで強度が跳ねあがるのだから
こういう誤解はいつまで続くんだろうなぁ。
アルファベット大文字小文字+数字計62種 = 5.95ビット
記号を含む0x33-0x7eまでのprintableな文字94種 = 6.58ビット
記号を入れたところで1文字あたり0.6ビットしか強度は上がらない。
パスワード長10文字で6ビットの増加で、英数のみでパスワードを1文字長くするのと同じ効果しかない。
Re: (スコア:0)
失礼、log(94)/log(2)は6.58じゃなくて6.55でした。