アカウント名:
パスワード:
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?
無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。で
高木浩光大先生も、パスワードを使いまわししないのが常識になったのだから、パスワード表示機能はあっても良いと言い出してるね。
高木浩光先生はパスワードの定期的変更不要派で、パスワードのハッシュが漏洩する可能性を考慮してしまうとパスワードの定期的変更が必要派に餌を与えてしまうってことも影響しているだろうけどね(生パスワードの場合漏洩したら解析時間必要なく即悪用される可能性があるので定期的変更しても無駄だが、パスワードハッシュは解析に時間がかかるので定期的変更で攻撃を防げる場合がある)。
2012年 https://twitter.com/HiromitsuTakagi/status/198005727317598208 [twitter.com] > しかし、業界の中にはそういう常識を共有していない愚事業
パスワードをサイト毎に変えるのが常識と言ってもそれはマニアの間だけで全然末端に浸透してないし、そもそも50個も80個もサイトにアカウントを持ってて全部違うパスワードを付けて覚えるのは不可能。
> そもそも50個も80個もサイトにアカウントを持ってて全部違うパスワードを付けて覚えるのは不可能。
パスワードマネージャを使うとか、手帳にメモっておくとかいくらでも方法あるでしょ
そもそも、サイトによってパスワードのルールが違う(記号使えというとこがあれば記号禁止のとこもあるし文字数制限もサイトによって違う)ので必ずいくつかのパスワードを使うことになるし、どのサイトにどれだか忘れちゃうからどっちにしろ書き留める必要が出てくるよね
パスワードマネージャなんてマスターパスワード抜かれたら芋づるに全部やられるから論外ですね。手帳にメモるなんて、なおさら非常識。盗まれたら全部アウトですよ。
で、君はどうやって管理してるのかな?
別の者です。
Webサイトなら例えば、パスワードの接頭辞を123456、後ろにサイト名、github.comなら123456githubとすることにすると管理上のコストは低いよ。それが脆弱かどうかは私には何ともわからないけど、パスワードマネージャーを使うことで攻撃される要素を一つ増やすこととどっちが良いかは私にはもっとわからないな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
いい加減に (スコア:0)
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
GPUクラウドの時代、ハッシュ化しても無駄です (スコア:3, 興味深い)
GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。
ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?
無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。
で
高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:4, 興味深い)
高木浩光大先生も、パスワードを使いまわししないのが常識になったのだから、パスワード表示機能はあっても良いと言い出してるね。
高木浩光先生はパスワードの定期的変更不要派で、パスワードのハッシュが漏洩する可能性を考慮してしまうとパスワードの定期的変更が必要派に餌を与えてしまうってことも影響しているだろうけどね(生パスワードの場合漏洩したら解析時間必要なく即悪用される可能性があるので定期的変更しても無駄だが、パスワードハッシュは解析に時間がかかるので定期的変更で攻撃を防げる場合がある)。
2012年
https://twitter.com/HiromitsuTakagi/status/198005727317598208 [twitter.com]
> しかし、業界の中にはそういう常識を共有していない愚事業
Re: (スコア:0)
パスワードをサイト毎に変えるのが常識と言ってもそれはマニアの間だけで全然末端に浸透してないし、
そもそも50個も80個もサイトにアカウントを持ってて全部違うパスワードを付けて覚えるのは不可能。
Re: (スコア:0)
> そもそも50個も80個もサイトにアカウントを持ってて全部違うパスワードを付けて覚えるのは不可能。
パスワードマネージャを使うとか、手帳にメモっておくとかいくらでも方法あるでしょ
そもそも、サイトによってパスワードのルールが違う(記号使えというとこがあれば記号禁止のとこもあるし文字数制限もサイトによって違う)ので必ずいくつかのパスワードを使うことになるし、どのサイトにどれだか忘れちゃうからどっちにしろ書き留める必要が出てくるよね
Re: (スコア:0)
パスワードマネージャなんてマスターパスワード抜かれたら芋づるに全部やられるから論外ですね。
手帳にメモるなんて、なおさら非常識。盗まれたら全部アウトですよ。
Re: (スコア:1)
で、君はどうやって管理してるのかな?
Re:高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:0)
別の者です。
Webサイトなら例えば、パスワードの接頭辞を123456、後ろにサイト名、github.comなら123456githubとすることにすると
管理上のコストは低いよ。
それが脆弱かどうかは私には何ともわからないけど、パスワードマネージャーを使うことで攻撃される要素を一つ増やすことと
どっちが良いかは私にはもっとわからないな。