アカウント名:
パスワード:
パスワードを保管しているファイルが盗まれなければ。
たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
今回の実験から、GPUを使うとこのファイルからパスワードを推測することが可能だ、ということが判ります。もし、同じユーザーが別の所でも同じユーザー名とパスワードを使っていたら、きっと侵入できるでしょう。そのテストを行うのには、1サイト1ユーザー名あたり1回のテストで済みます。
100万人のユーザー情報があって、10%が同じパスワードを違う場所でも使っているとするなら、10万人分の情報が手に入ったわけです。
「弱いパスワードを使うことで破られるリスクがある」
⇒ ピコーン! ログインIDを変えさせればいいんじゃね?
ということで,わざわざ社内システムのアカウント名に「社員ID以外のIDを使うように」という意味の分からないお達しが来たうちはどうすれば…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
総当たりチェックなど・・・・ (スコア:3, 興味深い)
パスワードの総当たりなど、3回試行して失敗したら30分ロックアウトするだけで、この手の物は簡単に防げるという認識は甘いでしょうか。
Re: (スコア:4, 興味深い)
パスワードを保管しているファイルが盗まれなければ。
たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
今回の実験から、GPUを使うとこのファイルからパスワードを推測することが可能だ、ということが判ります。もし、同じユーザーが別の所でも同じユーザー名とパスワードを使っていたら、きっと侵入できるでしょう。そのテストを行うのには、1サイト1ユーザー名あたり1回のテストで済みます。
100万人のユーザー情報があって、10%が同じパスワードを違う場所でも使っているとするなら、10万人分の情報が手に入ったわけです。
fjの教祖様
Re: (スコア:0)
企業にちゃんとしたセキュリティを望むのと同様に
ユーザーのこういう間抜けな行動も厳しく責めるべきではないでしょうか。
Re: (スコア:0)
Re: (スコア:2, 興味深い)
「弱いパスワードを使うことで破られるリスクがある」
⇒ ピコーン! ログインIDを変えさせればいいんじゃね?
ということで,わざわざ社内システムのアカウント名に
「社員ID以外のIDを使うように」という意味の分からない
お達しが来たうちはどうすれば…
Re:総当たりチェックなど・・・・ (スコア:2, おもしろおかしい)
巫女さんになってシステムを落とせとか、転職しろとかみたいな意見が出ると予想。