パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「大文字小文字が必須です」はパスワードを脆弱にする」記事へのコメント

  • こういうことか (スコア:5, 参考になる)

    by Anonymous Coward

    仮にパスワードが(8文字ではなく)4文字と決まっていたとする。

    * アルファベット大文字(26種類)
    * アルファベット小文字(26種類)
    * 数字(10種類)
    * 記号(33種類)

    として、4種の文字をを全て含める場合
    →26×26×10×33×4! = 5,353,920通り

    文字種の制約がない場合
    →95^4 = 81,450,625通り

    文字種の縛りを加えることによってパスワードの候補が大幅に減ってしまう(この例だと94%減る)。
    文字数を大きくすることでこの効果は小さくなっていく。
    つまりパスワードの最大文字数を最大8文字とか10文字とかに制約しておきながら文字種の縛りを加えているサイトはアホだということになる。
    # 最小文字数こそ設定すべきだと思うのだが……

    • by Anonymous Coward on 2018年12月07日 15時11分 (#3528863)

      長さ制限さえしなければ他に制限があっても個人的にはOKかな。
      12文字とか16文字とか、この辺りまでの制限があるサービス結構あるのよね。64文字で登録したいのに。

      親コメント
      • by nim (10479) on 2018年12月07日 15時20分 (#3528871)

        1KiBとか2KiBとかあたりで長さ制限しておかないと、2時間の4k動画をBase64エンコードしたようなパスワード設定されちゃうから……

        親コメント
        • by Anonymous Coward

          256bitなり512bitなりのハッシュを送信・登録するようにすればいいんじゃない?

        • by Anonymous Coward

          「先頭〇〇〇〇文字まで認識します」でOK。

        • by Anonymous Coward

          お前んとこではパスワードをハッシュ化しねえの?

          • by Anonymous Coward

            当然ハッシュするだろうけど、認証の際に毎回GBクラスの文字列を送ってこられると困る、って話かと。

          • by Anonymous Coward

            ハッシュ生成をサーバでやる場合、トラフィックは食われるな。
            まぁそんなもんパスワードじゃなくてもHTTPリクエストにゴミ載せて送りつけるだけで同じことだけど。

          • by Anonymous Coward

            保存はハッシュでも照合するときは全部受け取ってハッシュしないといけないじゃん

      • by Anonymous Coward

        どうでもいい(そして、正しい作法に従ったパスワード管理されているか疑わしい)サービスのアカウントの登録とかは、
        (date; ls -l) | md5sum
        とかで出てきたMD5の値をパスワードにして、アカウント登録確認メールを自分あてフォワードして、そこにパスワード書き込んじゃってるんで、32文字でいいや。

        • by Anonymous Coward

          メールアカウントがやられたら全滅では?

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...