アカウント名:
パスワード:
プロバイダ側にdomain名前を、@hogehoge.jpから@mail1.hogehoge.jpに変えてもらうという提案はいかがでしょう?痛みはともに分かち合うということで。
# 解決にはなっていないかもしれないが、提案は無料。
予言した悪い例を自ら踏襲する上それをこの場で公開するとかw
パスワードは辞書攻撃に耐える堅いのを使ってるから大丈夫です。
その大丈夫はあてにならないので改めてください。
セキュリティに大丈夫はありません。大丈夫だと思ったところに落とし穴があるんです。
というかプロバイダも立場上促しているだけで不正利用されても自己責任で文句は絶対言いません、とでも伝えれば?
自分は、サービス側が(文字種と文字数)許す限り、ランダム文字列を50文字で作ってるんですが、それでも大丈夫じゃないですか?絶対はないですが、大丈夫だとは思うのですが。
過信しない方が。http://security.srad.jp/story/12/09/22/0831222/ [srad.jp]Hotmailのパスワードは先頭16文字だけが認証に使われる
何兆分の一くらいの確率で、そのランダム50文字が偶然聖書の一節と同じになる可能性が!
そして忘れないようにポストイットに書いてディスプレイに張ってあるんですな?
> Hotmailのパスワードは先頭16文字だけが認証に使われる
マイクロソフトアカウントでもそのままですね。# たった今、変えてみた。
とは言え、英数字と記号が使えるのでランダム性を確保できていれば、それほど気にする事ではないのでは?単純に文字の個数の16乗を取ってみれば、総当たり攻撃が無意味なくらいの値になりませんか?
ローカルのアカウントデータベースが抜かれたら別でしょうけれど、Hotmailアカウントなので、総当たり攻撃の手段はWeb経由しかないはず。そうなると、特に価値のあるアカウントであればと
$とか@とか%とか聖書に出てくるんですか。
でも何が大丈夫じゃないかは言えないんですね。わかります。
> その大丈夫はあてにならないので改めてください。
ひじょーに興味があるので、「辞書攻撃に耐える堅いの」がだめな理由をぜひとも。
当然だけれど、「辞書攻撃に耐える堅いの」という主張が偽であるケースは論外ね。あと、パスワードをさらしているとか、通常ログイン経路以外の穴があるケースも無しね。
「高さ50mの堤防を49.5mに削る行為だからやめろ」くらいの意味かもしれません。あるいは、パスワードを保管してる側が「長さ50文字を受け付けるけど判定に使うのは3文字だけ」とかいうふざけたシステムであることを心配しているのかも!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
Objection!‼ (スコア:1)
プロバイダ側にdomain名前を、@hogehoge.jpから@mail1.hogehoge.jpに変えてもらうという提案はいかがでしょう?
痛みはともに分かち合うということで。
# 解決にはなっていないかもしれないが、提案は無料。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re: (スコア:1)
結局、ユーザー名を今使ってる stat から stat2 に変更することにします。
Re: (スコア:1)
予言した悪い例を自ら踏襲する上それをこの場で公開するとかw
Re: (スコア:1)
ユーザー名を公開しても、パスワードには他人から推察される文字列を使わなければ全然問題ないと思います。
でも、世の中「hoge1234」の人多いですよねえ。PCのトラブルシュートを頼まれたりして知る他人のパスワードで、堅いパスワードってあまり見ないです。
本当は ユーザー名=メールアドレス名 は間違っていない!弱いパスワードを使う奴が悪だ! と強く主張したいんだけど、それは現実から離れた主張の気がします。
Re:Objection!‼ (スコア:0)
パスワードは辞書攻撃に耐える堅いのを使ってるから大丈夫です。
その大丈夫はあてにならないので改めてください。
セキュリティに大丈夫はありません。
大丈夫だと思ったところに落とし穴があるんです。
Re: (スコア:0)
というかプロバイダも立場上促しているだけで
不正利用されても自己責任で文句は絶対言いません、
とでも伝えれば?
Re: (スコア:0)
自分は、サービス側が(文字種と文字数)許す限り、ランダム文字列を50文字で作ってるんですが、それでも大丈夫じゃないですか?
絶対はないですが、大丈夫だとは思うのですが。
Re: (スコア:0)
過信しない方が。
http://security.srad.jp/story/12/09/22/0831222/ [srad.jp]
Hotmailのパスワードは先頭16文字だけが認証に使われる
Re: (スコア:0)
何兆分の一くらいの確率で、そのランダム50文字が偶然聖書の一節と同じになる可能性が!
Re: (スコア:0)
そして忘れないようにポストイットに書いてディスプレイに張ってあるんですな?
Re: (スコア:0)
> Hotmailのパスワードは先頭16文字だけが認証に使われる
マイクロソフトアカウントでもそのままですね。
# たった今、変えてみた。
とは言え、英数字と記号が使えるのでランダム性を確保できていれば、それほど気にする事ではないのでは?
単純に文字の個数の16乗を取ってみれば、総当たり攻撃が無意味なくらいの値になりませんか?
ローカルのアカウントデータベースが抜かれたら別でしょうけれど、Hotmailアカウントなので、総当たり攻撃の手段はWeb経由しかないはず。
そうなると、特に価値のあるアカウントであればと
Re: (スコア:0)
$とか@とか%とか聖書に出てくるんですか。
Re: (スコア:0)
Re: (スコア:0)
でも何が大丈夫じゃないかは言えないんですね。わかります。
Re: (スコア:0)
> その大丈夫はあてにならないので改めてください。
ひじょーに興味があるので、「辞書攻撃に耐える堅いの」がだめな理由をぜひとも。
当然だけれど、「辞書攻撃に耐える堅いの」という主張が偽であるケースは論外ね。
あと、パスワードをさらしているとか、通常ログイン経路以外の穴があるケースも無しね。
Re:Objection!‼ (スコア:1)
「高さ50mの堤防を49.5mに削る行為だからやめろ」くらいの意味かもしれません。
あるいは、パスワードを保管してる側が「長さ50文字を受け付けるけど判定に使うのは3文字だけ」とかいうふざけたシステムであることを心配しているのかも!