アカウント名:
パスワード:
もう誰も登録できないじゃん考えても見なかったの?
ちなみに全通りって何通りくらいあるんです?
仮に英大文字・英小文字・数字だけの16文字ちょうどのパスワードだとたったの62^16=47672401706823533450263330816通り。1秒間に1億パターンチェックした場合150兆年程度でチェックが終わってしまうぐらい弱々。
で、ブラック入りになるパスワードって24文字未満ぐらい???
違う、Have I Been PwnedのAPIではSHA-1ハッシュの先頭五文字だけをチェックするだけなので、[0-9a-f]の五文字だから16^5で104万8576通りしかないよ。やろうと思えば全通りブラックリスト入りさせるのは簡単。Pwnedに104万通り含まれてる嘘のデータセットを送ってしまえばいい。
pixivの発表を読む限り、APIを使うんじゃなくてリストを手元に置いて自前で検証するようだから、最大2^160通りは確保できるのでは
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
全通りブラックリスト入りになったらどうすんの? (スコア:0)
もう誰も登録できないじゃん
考えても見なかったの?
Re: (スコア:0)
ちなみに全通りって何通りくらいあるんです?
Re: (スコア:0)
仮に英大文字・英小文字・数字だけの16文字ちょうどのパスワードだと
たったの62^16=47672401706823533450263330816通り。1秒間に1億パターン
チェックした場合150兆年程度でチェックが終わってしまうぐらい弱々。
で、ブラック入りになるパスワードって24文字未満ぐらい???
Re: (スコア:0)
違う、Have I Been PwnedのAPIではSHA-1ハッシュの先頭五文字だけをチェックするだけなので、[0-9a-f]の五文字だから16^5で104万8576通りしかないよ。
やろうと思えば全通りブラックリスト入りさせるのは簡単。Pwnedに104万通り含まれてる嘘のデータセットを送ってしまえばいい。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
pixivの発表を読む限り、APIを使うんじゃなくてリストを手元に置いて自前で検証するようだから、最大2^160通りは確保できるのでは