アカウント名:
パスワード:
>「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」戸+毛+尾→tokeo
短い
マジレスすると、5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、「tokeo」だと24bitくらいですから全然ダメですよ。後者だと総当り攻撃への耐性が1000万倍くらい弱い。「戸毛尾」でも全部常用漢字なわけで33bitくらいしかなく、10000倍くらい弱い。5万字載ってる漢字字典から(常用漢字とかに限定せず)ランダムに3字選ぶならいいですが。
なににマジレスしてるんが知らんが、「ランダムに3つ選んだら短くなることもあるよねwうはw弱いwwランダムに選ぶってギャンブルww」って話なんだから、tokeoが全然ダメなことぐらいわかってるだろ…
# 結局長さが正義よ
ほとんどネタにマジレスの世界だけど、
> # 結局長さが正義よ
情報量が問題なので、たとえ3文字であろうと、康熙字典からランダムにとってくるならOKだし、ランダムに選ぶこと自体はむしろ望ましい属性でしょう。
5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、
「5万語の辞書」から「3つ」の「語」ですと1つしか無いので解無しですェ
# 素でこんな回答が来ることも想定しないと一般普及は無理かも
そのぐらいの強さでいいなら15桁の数字だけのパスワードのほうが楽でいいな。数字+英大文字+英小文字まで範囲を広げるならたったの8文字で済む。
そんな弱いパスワードを使ってホントにいいんだろうか?
使った辞書が広辞苑だとわかっていればそうでしょうな「サクッと」でもない数な気もしますがなおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
>なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
もしかして、そういうのって個数固定にしないほうが強度有りますか。3<=n で覚えられる限りとか。
#落語でおなじみの長大語… そのままだとバレやすいか。
現在DB等への保存時に一般的に利用されていると思われるBcryptの場合、仕様上72オクテット(パスワードの場合は事実上72文字)までしか受け入れられないことに注意が必要です。
それより長い入力にどのように対応しているかはシステム次第ですが、73オクテット目以降を切り捨てている可能性が高いです。
(ほかの対応方法としては、72オクテットまでに入力を制限する、別のハッシュ――例えばSHA-2-512――を通した結果をBcryptにかけるなどの場合もあります)
73オクテット目以降を切り捨てている場合、72オクテットまで正しく入力すれば、73オクテット目以降は何であってもverifyが通ります。
そういや、はるか昔に仕事でたまに利用していたサーバー(Sun?)が8文字超えたところは認識していなかった気がします。
単語3つというフォーマットが決まってればそうだけど、実際にはアンダーバーで区切るやつとかハイフンで区切るやつとかキャメルケースで区切るやつとかそもそも区切らない奴とかいろんなパターンがありえるから、単純に50000の三乗とはいかないと思う。
胃+兎+尾→iuo
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
賭け (スコア:1)
>「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」
戸+毛+尾
→tokeo
短い
Re: (スコア:0)
マジレスすると、5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、
「tokeo」だと24bitくらいですから全然ダメですよ。
後者だと総当り攻撃への耐性が1000万倍くらい弱い。
「戸毛尾」でも全部常用漢字なわけで33bitくらいしかなく、10000倍くらい弱い。
5万字載ってる漢字字典から(常用漢字とかに限定せず)ランダムに3字選ぶならいいですが。
Re: (スコア:0)
なににマジレスしてるんが知らんが、
「ランダムに3つ選んだら短くなることもあるよねwうはw弱いwwランダムに選ぶってギャンブルww」
って話なんだから、tokeoが全然ダメなことぐらいわかってるだろ…
# 結局長さが正義よ
Re: (スコア:0)
ほとんどネタにマジレスの世界だけど、
> # 結局長さが正義よ
情報量が問題なので、たとえ3文字であろうと、康熙字典からランダムにとってくるならOKだし、
ランダムに選ぶこと自体はむしろ望ましい属性でしょう。
Re: (スコア:0)
5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、
「5万語の辞書」から「3つ」の「語」ですと
1つしか無いので解無しですェ
# 素でこんな回答が来ることも想定しないと一般普及は無理かも
Re: (スコア:0)
そのぐらいの強さでいいなら15桁の数字だけのパスワードのほうが楽でいいな。
数字+英大文字+英小文字まで範囲を広げるならたったの8文字で済む。
そんな弱いパスワードを使ってホントにいいんだろうか?
Re: (スコア:0)
Re:賭け (スコア:3)
使った辞書が広辞苑だとわかっていればそうでしょうな
「サクッと」でもない数な気もしますが
なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
Re:賭け (スコア:1)
>なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
もしかして、そういうのって個数固定にしないほうが強度有りますか。
3<=n で覚えられる限りとか。
#落語でおなじみの長大語… そのままだとバレやすいか。
Re:賭け (スコア:1)
現在DB等への保存時に一般的に利用されていると思われるBcryptの場合、
仕様上72オクテット(パスワードの場合は事実上72文字)までしか受け入れられないことに注意が必要です。
それより長い入力にどのように対応しているかはシステム次第ですが、
73オクテット目以降を切り捨てている可能性が高いです。
(ほかの対応方法としては、72オクテットまでに入力を制限する、
別のハッシュ――例えばSHA-2-512――を通した結果をBcryptにかけるなどの場合もあります)
73オクテット目以降を切り捨てている場合、72オクテットまで正しく入力すれば、
73オクテット目以降は何であってもverifyが通ります。
Re:賭け (スコア:1)
そういや、はるか昔に仕事でたまに利用していたサーバー(Sun?)が8文字超えたところは認識していなかった気がします。
Re: (スコア:0)
単語3つというフォーマットが決まってればそうだけど、実際にはアンダーバーで区切るやつとかハイフンで区切るやつとかキャメルケースで区切るやつとかそもそも区切らない奴とかいろんなパターンがありえるから、単純に50000の三乗とはいかないと思う。
Re: (スコア:0)
胃+兎+尾
→iuo