パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「大文字小文字が必須です」はパスワードを脆弱にする」記事へのコメント

  • もしユーザーに全部大文字や小文字にしたがる傾向があるとすれば、組み合わせ数が増えるメリットより、
    まず全部小文字・全部大文字で試行するブルートフォースアタックを受けたときの危険性増大というデメリットのほうがでかくなる。

    元記事にある、「(パスワードを文字にするという)制約で1文字から7文字の長さのパスワードがすべて無効とされるからです。
    それによって、パスワードを破るのに必要な時間がなんと2277秒、つまり38分弱も短くなります(3548分に対して)」というのも同じ。
    「8文字じゃなくてもいいです」って言った日にゃ、3文字や4文字のパスワードに設定したバカが出てくるのがオチ。

    「長いパスワードを使え」って結論はいいと思うけど、その前フリにしてもコレ必要な指摘か?って感じ。

    • まったくもって同意。

      そもそも何も制限かけてなきゃ、楽なパスワードに逃げる人も増えるだろうから、英子文字のみのブルートフォースでも結構当たりを引けたりする。
      そうなると、26通り^8桁 = 2088億通りくらいをまずは試せばよくなる。

      でも、組み合わせを強制すると、最大パターン数からは多少目減りはするとしても、数千兆通りにまで増えるなら十分に効果はあるよね。

      • by Anonymous Coward

        でも弱いパスワードのユーザをブルートフォースで破れたら、強いパスワードを設定している他のユーザまでわざわざ破りには来ないでしょ?

        • by Anonymous Coward

          ん? 私は「文字種制限は入れた方がいい」って主張してるつもりなんですがねぇ。

          元記事の主張は、

          「大文字/小文字/数字/記号の 95種を使えば、本来95^8=6600兆通りの表現が使えるはずなのに、複数文字種を強制すると小文字だけのパターンとか大文字だけのパターンは排除されることになり、結果として総パターン数が減ってしまう」

          っていう事を主張しているわけですが、私の主張は

          「そもそも文字種制限かけてなかったら 2000億通り程度のアタックで見破られてしまうパスワードを許してしまう事になるのだから、たとえMaxの6600兆通りよりも目減りしてしまったとしても、文字種制限かけて数千兆通りのパターンを堅持した方が結果として安全だよね?」

          と主張してるつもりです。伝わりますかね?

アレゲは一日にしてならず -- アレゲ研究家

処理中...