アカウント名:
パスワード:
換字式でパスワードを作る時代は終わった適当なキーワードとパスワードをくっつけてハッシュ化これ最強
例外が多すぎて使い物にならない
覚えられるのなら、本当に大分強いと思ったんだけど使い物にならないという理由をもう少し、詳しく聞かせて。例外が多すぎて、とはどういう意味?
私はかれこれ10年ぐらい前から パスワードをハッシュ生成する方法 [security.srad.jp]を実践していますが、この方法で困るのが、「ハッシュ生成した文字列がパスワードとして使えなかった場合」の対応方法ですね。滅多にないんですが、運悪く「アルファベット小文字と数字」なパスワードを生成してしまい、しかもそのパスワードを使いたいシステムが「大文字小文字数字の3種取り混ぜたパスワードじゃないとダメ」なシステムだったりとか。(そんなん滅多にないだろ、と言われそうですが、サイト側のパスワード可能文字数に基づいて生成したハッシュを切り出すので、8文字パスワードだとたま
> パスワードとして使えなかった場合サービス名+パスワード要件、をジェネレータの入力にして、パスワード要件を満たすまでハッシュをストレッチしてくとか。
> ハッシュジェネレータをどこで動かすのかマイコンでキーボードデバイス作ってそこで実行とかやるとロマンありそうな気がします!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
ハッシュ化すればいい (スコア:0)
換字式でパスワードを作る時代は終わった
適当なキーワードとパスワードをくっつけてハッシュ化
これ最強
Re: (スコア:0)
例外が多すぎて使い物にならない
Re: (スコア:0)
覚えられるのなら、本当に大分強いと思ったんだけど
使い物にならないという理由をもう少し、詳しく聞かせて。
例外が多すぎて、とはどういう意味?
Re: (スコア:1)
私はかれこれ10年ぐらい前から パスワードをハッシュ生成する方法 [security.srad.jp]を実践していますが、この方法で困るのが、「ハッシュ生成した文字列がパスワードとして使えなかった場合」の対応方法ですね。
滅多にないんですが、運悪く「アルファベット小文字と数字」なパスワードを生成してしまい、しかもそのパスワードを使いたいシステムが「大文字小文字数字の3種取り混ぜたパスワードじゃないとダメ」なシステムだったりとか。
(そんなん滅多にないだろ、と言われそうですが、サイト側のパスワード可能文字数に基づいて生成したハッシュを切り出すので、8文字パスワードだとたま
Re:ハッシュ化すればいい (スコア:0)
> パスワードとして使えなかった場合
サービス名+パスワード要件、をジェネレータの入力にして、
パスワード要件を満たすまでハッシュをストレッチしてくとか。
> ハッシュジェネレータをどこで動かすのか
マイコンでキーボードデバイス作ってそこで実行とかやるとロマンありそうな気がします!