アカウント名:
パスワード:
>「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」戸+毛+尾→tokeo
短い
使った辞書が広辞苑だとわかっていればそうでしょうな「サクッと」でもない数な気もしますがなおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
>なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
もしかして、そういうのって個数固定にしないほうが強度有りますか。3<=n で覚えられる限りとか。
#落語でおなじみの長大語… そのままだとバレやすいか。
現在DB等への保存時に一般的に利用されていると思われるBcryptの場合、仕様上72オクテット(パスワードの場合は事実上72文字)までしか受け入れられないことに注意が必要です。
それより長い入力にどのように対応しているかはシステム次第ですが、73オクテット目以降を切り捨てている可能性が高いです。
(ほかの対応方法としては、72オクテットまでに入力を制限する、別のハッシュ――例えばSHA-2-512――を通した結果をBcryptにかけるなどの場合もあります)
73オクテット目以降を切り捨てている場合、72オクテットまで正しく入力すれば、73オクテット目以降は何であってもverifyが通ります。
そういや、はるか昔に仕事でたまに利用していたサーバー(Sun?)が8文字超えたところは認識していなかった気がします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
賭け (スコア:1)
>「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」
戸+毛+尾
→tokeo
短い
Re: (スコア:0)
Re: (スコア:3)
使った辞書が広辞苑だとわかっていればそうでしょうな
「サクッと」でもない数な気もしますが
なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
Re: (スコア:1)
>なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
もしかして、そういうのって個数固定にしないほうが強度有りますか。
3<=n で覚えられる限りとか。
#落語でおなじみの長大語… そのままだとバレやすいか。
Re:賭け (スコア:1)
現在DB等への保存時に一般的に利用されていると思われるBcryptの場合、
仕様上72オクテット(パスワードの場合は事実上72文字)までしか受け入れられないことに注意が必要です。
それより長い入力にどのように対応しているかはシステム次第ですが、
73オクテット目以降を切り捨てている可能性が高いです。
(ほかの対応方法としては、72オクテットまでに入力を制限する、
別のハッシュ――例えばSHA-2-512――を通した結果をBcryptにかけるなどの場合もあります)
73オクテット目以降を切り捨てている場合、72オクテットまで正しく入力すれば、
73オクテット目以降は何であってもverifyが通ります。
Re:賭け (スコア:1)
そういや、はるか昔に仕事でたまに利用していたサーバー(Sun?)が8文字超えたところは認識していなかった気がします。