アカウント名:
パスワード:
という多くの「仮定」をクリアしなきゃ実現しないような脆弱性を政府機関の人間がタレ込んでるからエキサイトしてるのでは?
その上、
という、流れ星に当たるぐらい多くの悪条件が重なった場合にだけ起こる「パスワード漏洩のリスク」
タレコミ文を読まずに書いてませんか? 私のサーバで実際にそうしたRefererが見つかったと書いてあります。BUGTRAQへの報告者も複数の事例が見つかったと述べています。 つまり、
ここまでが現実に起きたというタレコミですよ?
私のサイトなど話題にされることは滅多にないのでアクセスも少なめですが、もっと頻繁にリンクされるサイトにはより高い確率でログに記録されてい
私のサーバで実際にそうしたRefererが見つかったと書いてあります。
流れ星で言えば「流れ星が大気圏に突入した」ぐらいの段階
あなたにとっては「流れ星が大気圏に突入した」と「流れ星が人に当たった」というのが同値なんですね。
(私は同値と言う言葉を使っていませんが、それはともかく、)
脆弱性の深刻度の話をするときは、実際に被害が出たかは問わないのがスタンダードです。コンピュータソフトウェアの欠陥は、自動車の欠陥の場合などと異なり、100%の再現性があるため、攻撃しようと企てた者がいれば確実にやられます。セーフティとセキュリティの違いです。
(なんだかよくわかりませんが)そちらから持ち出された流
しかし、MD5値が漏れても、生パスワードに到達できる可能性は確実でも高確率でもありません。 むしろ、MD5値から生パスワードに戻す事は実用上十分な程度には低確率であると考えられているのではないですか?
その「こちらのご主張」というのは生パスワードが知られてしまうと、(固定文字列+いくつかの文字列というパスワードを付けている場合)他のパスワードを推測されてしまうという話でしょ。 そのような生成規則であればMD5値から生パスワードが容易に復元できるなんて話は全然されてないじゃん。 特にその「固定文字列」が辞書に載っていないようなものであれば全く確率を下げる事には寄与しない。
私も
なんでもかんでも自分の主張の方向に持っていこうとするのは、みてて嫌悪感すら感じます。
その「固定文字列」が辞書に載っていないようなものであれば全く確率を下げる事には寄与しない。
パスワードクラッカーの辞書に載っているようなものでなければ、その固定文字列+いくつかの文字というパスワードの付け方をする意義がないでしょう。
はぁ?
あなたには本当に想像力というものが無いんですね。 たとえば「ozuj」という「固定文字列」に「slash」という「いくつかの文字」を付けて/.のパスワードにしてれば「ozujslashjp」が/.jpのパスワードかもしれない。 固定文字列+いくつかの文字列ではなくても、たとえば「AksuIoa」というパスワードであれば、「その人は英字のみ7文字程度で2文字の大文字を入れる傾向にある」というのがわかりますから、辞書攻撃でなくブルートフォー
意義って何?
jbeefたんの想像力では、固定文字列+αと言われたらword123とかoresama111とかの辞書に載っているような固定文字列のパスワードしか思い付かないんじゃない? tcyso + 124でtcyso124にするとか、そういうのを思い付けないんだよ。それか、そんなんじゃ覚えられないか。きっと。
# 智 ちよ よみ 榊 大阪 の頭文字→tcyso :-)
それでなければ、辞書に載っているような単語でなければ、辞書攻撃でMD5値から生パスワードに
たとえば「ozuj」という「固定文字列」に「slash」という「いくつかの文字」を付けて/.のパスワードにしてれば「ozujslashjp」が/.jpのパスワードかもしれない。
何度も言っているように、私が、 「MD5値が漏れることとそのパスワードが漏れることは完全に同等です」と述べたのは、「もし、そのパスワードがスラッシュドットだけで使っているものなのなら、」という前提が可能な場合だけです。そして実際にはそのような前提が成立しないユーザが存在するでしょう。 だからこそ、それに続く、
もし、そのパスワードがスラッシュドット以外でも使っているものなのなら、辞書攻撃によるパスワード解読の危険性についても触れる必要があるので、「アカウント乗っ取り」というタイトルでは不十分です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
そもそもパスワードって漏れるもの (スコア:1)
所詮/.程度のサークル内で使うパスワードに対したものは使ってませんので、ココまでエキサイトしなきゃならない理由がピンと来ないでおります。
自分としては基礎→プライバシー絡み→金絡みの順序で生成
〜後悔先に立たず・後悔役に立たず・後悔後を絶たず〜
Re:そもそもパスワードって漏れるもの (スコア:1, 参考になる)
という多くの「仮定」をクリアしなきゃ実現しないような脆弱性を政府機関の人間がタレ込んでるからエキサイトしてるのでは?
その上、
Re:そもそもパスワードって漏れるもの (スコア:1)
タレコミ文を読まずに書いてませんか? 私のサーバで実際にそうしたRefererが見つかったと書いてあります。BUGTRAQへの報告者も複数の事例が見つかったと述べています。 つまり、
ここまでが現実に起きたというタレコミですよ?
私のサイトなど話題にされることは滅多にないのでアクセスも少なめですが、もっと頻繁にリンクされるサイトにはより高い確率でログに記録されてい
Re:そもそもパスワードって漏れるもの (スコア:0)
流れ星で言えば「流れ星が大気圏に突入した」ぐらいの段階
Re:そもそもパスワードって漏れるもの (スコア:2, おもしろおかしい)
Re:そもそもパスワードって漏れるもの (スコア:0)
Re:そもそもパスワードって漏れるもの (スコア:1)
(私は同値と言う言葉を使っていませんが、それはともかく、)
脆弱性の深刻度の話をするときは、実際に被害が出たかは問わないのがスタンダードです。コンピュータソフトウェアの欠陥は、自動車の欠陥の場合などと異なり、100%の再現性があるため、攻撃しようと企てた者がいれば確実にやられます。セーフティとセキュリティの違いです。
(なんだかよくわかりませんが)そちらから持ち出された流
Re:そもそもパスワードって漏れるもの (スコア:0)
なので、私の書いたコメントに「そちらが持ち出された流れ星のたとえ話」と言われても困るんだけど...
2chで「login:penguinさんは~」とか言われてるみたいで何だか変な気分。
jbeefさんは匿名で書ける掲示板でのリテラシに欠けてるのかな?それとも自分に反論する人はただ一人と考える人なのかな?
まぁ上の方のコメント読むと反論=攻撃と考えるような人みたいなの
Re:そもそもパスワードって漏れるもの (スコア:1)
Re:そもそもパスワードって漏れるもの (スコア:0)
その「こちらのご主張」というのは生パスワードが知られてしまうと、(固定文字列+いくつかの文字列というパスワードを付けている場合)他のパスワードを推測されてしまうという話でしょ。
そのような生成規則であればMD5値から生パスワードが容易に復元できるなんて話は全然されてないじゃん。
特にその「固定文字列」が辞書に載っていないようなものであれば全く確率を下げる事には寄与しない。
私も
という意見に賛成だなRe:そもそもパスワードって漏れるもの (スコア:1)
また、パスワードクラッカーの辞書に載っているような文字列でなければ、生パスワードが判明したときに、どこからどこまでの部分文字列が他のサイトで使われている可能性があるか、判別できないでしょう。
Re:そもそもパスワードって漏れるもの (スコア:0)
はぁ?
あなたには本当に想像力というものが無いんですね。
たとえば「ozuj」という「固定文字列」に「slash」という「いくつかの文字」を付けて/.のパスワードにしてれば「ozujslashjp」が/.jpのパスワードかもしれない。
固定文字列+いくつかの文字列ではなくても、たとえば「AksuIoa」というパスワードであれば、「その人は英字のみ7文字程度で2文字の大文字を入れる傾向にある」というのがわかりますから、辞書攻撃でなくブルートフォー
Re:そもそもパスワードって漏れるもの (スコア:0)
>パスワードクラッカーの辞書に載っているようなものでなければ、その固定文字列+いくつかの文字というパスワードの付け方をする意義がないでしょう。
意義って何?少なくとも私は、「固定文字列+いくつかの文字」という規則に則っていないパスワードはいくつも利用していますが…。
それに従うのが意義であり全てだと思うのであれば、あまりにも幼稚だと思うけど。
# それを使うのが「幼稚」ではないよ
>また、パスワードクラッカーの辞書に載っているような文字列でなければ、生パスワードが判明した
Re:そもそもパスワードって漏れるもの (スコア:0)
jbeefたんの想像力では、固定文字列+αと言われたらword123とかoresama111とかの辞書に載っているような固定文字列のパスワードしか思い付かないんじゃない?
tcyso + 124でtcyso124にするとか、そういうのを思い付けないんだよ。それか、そんなんじゃ覚えられないか。きっと。
# 智 ちよ よみ 榊 大阪 の頭文字→tcyso :-)
それでなければ、辞書に載っているような単語でなければ、辞書攻撃でMD5値から生パスワードに
Re:そもそもパスワードって漏れるもの (スコア:0)
Re:そもそもパスワードって漏れるもの (スコア:1)
それは、#171462の「もし、そのパスワードがスラッシュドットだけで使っているものなのなら、」の前提に反するケースです。
何度も言っているように、私が、 「MD5値が漏れることとそのパスワードが漏れることは完全に同等です」と述べたのは、「もし、そのパスワードがスラッシュドットだけで使っているものなのなら、」という前提が可能な場合だけです。そして実際にはそのような前提が成立しないユーザが存在するでしょう。
という部分も重要なのだ、ということを述べたものです。だからこそ、それに続く、