アカウント名:
パスワード:
仮にパスワードが(8文字ではなく)4文字と決まっていたとする。
* アルファベット大文字(26種類)* アルファベット小文字(26種類)* 数字(10種類)* 記号(33種類)
として、4種の文字をを全て含める場合→26×26×10×33×4! = 5,353,920通り
文字種の制約がない場合→95^4 = 81,450,625通り
文字種の縛りを加えることによってパスワードの候補が大幅に減ってしまう(この例だと94%減る)。文字数を大きくすることでこの効果は小さくなっていく。つまりパスワードの最大文字数を最大8文字とか10文字とかに制約しておきながら文字種の縛りを加えているサイトはアホだということになる。# 最小文字数こそ設定すべきだと思うのだが……
長さ制限さえしなければ他に制限があっても個人的にはOKかな。12文字とか16文字とか、この辺りまでの制限があるサービス結構あるのよね。64文字で登録したいのに。
1KiBとか2KiBとかあたりで長さ制限しておかないと、2時間の4k動画をBase64エンコードしたようなパスワード設定されちゃうから……
お前んとこではパスワードをハッシュ化しねえの?
当然ハッシュするだろうけど、認証の際に毎回GBクラスの文字列を送ってこられると困る、って話かと。
ハッシュ生成をサーバでやる場合、トラフィックは食われるな。まぁそんなもんパスワードじゃなくてもHTTPリクエストにゴミ載せて送りつけるだけで同じことだけど。
保存はハッシュでも照合するときは全部受け取ってハッシュしないといけないじゃん
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
こういうことか (スコア:5, 参考になる)
仮にパスワードが(8文字ではなく)4文字と決まっていたとする。
* アルファベット大文字(26種類)
* アルファベット小文字(26種類)
* 数字(10種類)
* 記号(33種類)
として、4種の文字をを全て含める場合
→26×26×10×33×4! = 5,353,920通り
文字種の制約がない場合
→95^4 = 81,450,625通り
文字種の縛りを加えることによってパスワードの候補が大幅に減ってしまう(この例だと94%減る)。
文字数を大きくすることでこの効果は小さくなっていく。
つまりパスワードの最大文字数を最大8文字とか10文字とかに制約しておきながら文字種の縛りを加えているサイトはアホだということになる。
# 最小文字数こそ設定すべきだと思うのだが……
Re: (スコア:0)
長さ制限さえしなければ他に制限があっても個人的にはOKかな。
12文字とか16文字とか、この辺りまでの制限があるサービス結構あるのよね。64文字で登録したいのに。
Re: (スコア:1)
1KiBとか2KiBとかあたりで長さ制限しておかないと、2時間の4k動画をBase64エンコードしたようなパスワード設定されちゃうから……
Re:こういうことか (スコア:0)
お前んとこではパスワードをハッシュ化しねえの?
Re: (スコア:0)
当然ハッシュするだろうけど、認証の際に毎回GBクラスの文字列を送ってこられると困る、って話かと。
Re: (スコア:0)
ハッシュ生成をサーバでやる場合、トラフィックは食われるな。
まぁそんなもんパスワードじゃなくてもHTTPリクエストにゴミ載せて送りつけるだけで同じことだけど。
Re: (スコア:0)
保存はハッシュでも照合するときは全部受け取ってハッシュしないといけないじゃん