パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

スラドに聞け:多くのシステムでパスワードに半角英数字と一部の記号しか使えない理由は何?」記事へのコメント

  • by Anonymous Coward on 2017年12月18日 15時51分 (#3331595)

    昔話は盛り上がってもらっていいとして、

    >アルファベット小文字だけのパスワードは簡単に推測される可能性があるため危険、というのは昨今では十分広がっていると思うが
    今の常識は文字種増やすより文字数増やした方が安全、では。

    • by utahime (47013) on 2017年12月18日 16時07分 (#3331614)

      まぁ確かに「記号まで含めて8文字以内」とかより「アルファベット大文字小文字と数字で256文字以内」とかの方が覚えやすくて安全なパスワードを選べますよね。

      #マイクロソフトアカウントも最大文字数を64文字くらいまでに増やしてくれんかのぉ…。

      親コメント
      • by miyuri (33181) on 2017年12月18日 17時10分 (#3331662) 日記

        パスワードを例えば一文字ずつ送るようにすれば、文字数の上限を無くすのは容易だろうなって。

        親コメント
        • by Anonymous Coward

          バックスペースとかデリートとかの制御キー押下もパスワードの一部になったりして。

          • by Anonymous Coward

            今でもログインプロンプトでバックスペース押しても直前の文字の取り消しと認識されないような。シリアルコンソールにtelnet経由でログインするときはいつもイラっとくる。

        • by Anonymous Coward

          backspaceやdeleteや改行文字の扱いで揉めそうです。

        • by Anonymous Coward

          通信でそれすると暗号化を破れなくても文字数が予測できる可能性が出てきてイヤンな感じに。

      • by Anonymous Coward

        文字種は多項式オーダーでしか効かないけど、文字数は指数オーダーで効く、という話でしょう。例えば 95 の 8 乗 < 62 の 9 乗。

    • by esuta (40045) on 2017年12月19日 1時04分 (#3331896)

      推測可能性(ブルートフォース的な)云々はあんまり関係なくて
      我々は「ハッシュはふつうにダダもれする」そして500円もらえる、という世界に生きている
      だから昔話じゃないけど、サイトごとにパスワード変える、パスワードはエージェントに覚えておいてもらう
      というオーソドックスな手法しかないんじゃないだろうか

      親コメント
      • by Anonymous Coward

        基本のパス"フレーズ"に、サイトの頭文字を後ろにnずらした文字を足す、ぐらいで実用上十分な気もする
        // そして合併等で変更されるサイト名

    • by Anonymous Coward

      一文字記号を含む条件を与えるだけで強度が跳ねあがるのだから、覚えて使うパスワードは記号を馴染ませる価値がある。

      でももうパスワードは覚えてなんとかなる時代ではないのか。

      • by Anonymous Coward

        >一文字記号を含む条件を与えるだけで強度が跳ねあがるのだから

        こういう誤解はいつまで続くんだろうなぁ。

        アルファベット大文字小文字+数字計62種 = 5.95ビット
        記号を含む0x33-0x7eまでのprintableな文字94種 = 6.58ビット

        記号を入れたところで1文字あたり0.6ビットしか強度は上がらない。
        パスワード長10文字で6ビットの増加で、英数のみでパスワードを1文字長くするのと同じ効果しかない。

        • by Anonymous Coward

          失礼、log(94)/log(2)は6.58じゃなくて6.55でした。

※ただしPHPを除く -- あるAdmin

処理中...