パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

大学パスワード管理の現状」記事へのコメント

  • 簡単なパスワードを登録できた時点で、そのシステムは既に終わっています。今の Linuxや*BSDではPAMの機能 を使えば弱いパスワードは拒否されます。 対NSAレベルではありませんが:-)、辞書攻撃を含めて、素人さん相手には、ほぼ不可能なレベルになります。

    ちなみに辞書攻撃可能なパスワードだと市販PC程度のスペックの マシンでも 100ms程度 で破られます。みんなが考えているよりも簡単です。 そんなに難しくもなく、ちょっとヒントを言うと 去年のCRYPTO2001 ( CRYPTO2002 [iacr.org] ) でのランプセッションの余興に パスワード破りのデモがあったのですが、それを一般のシステムに 応用すればすぐできます。 京都大学の

    --
    すずきひろのぶ
    • 「そーゆーパスワードを選ぶ人」の作るパスワードをはじくための関数ではないのでしょうか?

      むりなものは無理です。 もう一度書きますが、Fool Proofなパスワードセキュリティのシステムではありません。 あくまでも遷移状態からみた文字列の複雑さを計算する非常に小さな評価関数です。 それだけで過大な期待をするのは間違いです。

      Linuxや*BSD、あるいはUNIX系のシステムでパスワードセキュリティのシステムを使うなら、 PAMを組み込むこと が今の所、最良の方法だと言えるでしょう。ただし、それでもすらも完璧だということはありません。

      組み込みシステムのようなメモリや記憶容量のないコンピュータの中に入れる目的なので実行コードも2kbyteを切ります。 そのため 知識データベースを用いていないので、当然、知識による判断はできません。 12345678の入力でも、この函数からの戻り値に対するスレッシュホールドを上げれば対処できますが、たとえば誕生日や電話番号、あるいは学籍番号のようなものは判断できません。

      容量が小さく、計算が速く、何でもできるような 万能なマジックがあると思うのは危険 です。

      --
      すずきひろのぶ
      親コメント
      • むりなものは無理です。 もう一度書きますが、Fool Proofなパスワードセキュリティのシステムではありません。 あくまでも遷移状態からみた文字列の複雑さを計算する非常に小さな評価関数です。 それだけで過大な期待をするのは間違いです。

        全くそのとおりです(そもそも Fool Proof なパスワードセキュリティシステムとはなにかという話はおいておくとして)。
        つまり、あなたの「非常に小さな評価関数 [h2np.net]」は「検査用辞書を用いた方式と比べて大きく機能が劣っており、(検査用辞書を利用できないような環境では)あったほうがないよりはましかもしれないけれど、それについてもなんら理論的根拠はなく、また実証されているわけでもない」ものです。

人生unstable -- あるハッカー

処理中...