アカウント名:
パスワード:
もう誰も登録できないじゃん考えても見なかったの?
ちなみに全通りって何通りくらいあるんです?
仮に英大文字・英小文字・数字だけの16文字ちょうどのパスワードだとたったの62^16=47672401706823533450263330816通り。1秒間に1億パターンチェックした場合150兆年程度でチェックが終わってしまうぐらい弱々。
で、ブラック入りになるパスワードって24文字未満ぐらい???
違う、Have I Been PwnedのAPIではSHA-1ハッシュの先頭五文字だけをチェックするだけなので、[0-9a-f]の五文字だから16^5で104万8576通りしかないよ。やろうと思えば全通りブラックリスト入りさせるのは簡単。Pwnedに104万通り含まれてる嘘のデータセットを送ってしまえばいい。
HIBPのAPI仕様と使用例を見れば、それが大きな勘違いだと分かると思います。SHA-1ハッシュの先頭五文字で絞り込みはできますが、チェックはできません。https://haveibeenpwned.com/api/v3#PwnedPasswords [haveibeenpwned.com]https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
全通りブラックリスト入りになったらどうすんの? (スコア:0)
もう誰も登録できないじゃん
考えても見なかったの?
Re: (スコア:0)
ちなみに全通りって何通りくらいあるんです?
Re: (スコア:0)
仮に英大文字・英小文字・数字だけの16文字ちょうどのパスワードだと
たったの62^16=47672401706823533450263330816通り。1秒間に1億パターン
チェックした場合150兆年程度でチェックが終わってしまうぐらい弱々。
で、ブラック入りになるパスワードって24文字未満ぐらい???
Re: (スコア:0)
違う、Have I Been PwnedのAPIではSHA-1ハッシュの先頭五文字だけをチェックするだけなので、[0-9a-f]の五文字だから16^5で104万8576通りしかないよ。
やろうと思えば全通りブラックリスト入りさせるのは簡単。Pwnedに104万通り含まれてる嘘のデータセットを送ってしまえばいい。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:2)
HIBPのAPI仕様と使用例を見れば、それが大きな勘違いだと分かると思います。SHA-1ハッシュの先頭五文字で絞り込みはできますが、チェックはできません。
https://haveibeenpwned.com/api/v3#PwnedPasswords [haveibeenpwned.com]
https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]