アカウント名:
パスワード:
もう誰も登録できないじゃん考えても見なかったの?
ちなみに全通りって何通りくらいあるんです?
仮に英大文字・英小文字・数字だけの16文字ちょうどのパスワードだとたったの62^16=47672401706823533450263330816通り。1秒間に1億パターンチェックした場合150兆年程度でチェックが終わってしまうぐらい弱々。
で、ブラック入りになるパスワードって24文字未満ぐらい???
違う、Have I Been PwnedのAPIではSHA-1ハッシュの先頭五文字だけをチェックするだけなので、[0-9a-f]の五文字だから16^5で104万8576通りしかないよ。やろうと思えば全通りブラックリスト入りさせるのは簡単。Pwnedに104万通り含まれてる嘘のデータセットを送ってしまえばいい。
HIBPのAPI仕様と使用例を見れば、それが大きな勘違いだと分かると思います。SHA-1ハッシュの先頭五文字で絞り込みはできますが、チェックはできません。https://haveibeenpwned.com/api/v3#PwnedPasswords [haveibeenpwned.com]https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
pixivの発表を読む限り、APIを使うんじゃなくてリストを手元に置いて自前で検証するようだから、最大2^160通りは確保できるのでは
そんな信憑性のないデータ受け入れると思ってるの?
そしたらパスワード長を伸ばせば?
いや、表記が揺れるので意外といけると思います。
入力ミスではねられまくりそうな予感。
もしかしたら「一つのパスワードでの認証」自体がセキュリティ的にはアウトになるんやろか。
オチがいろいろあるのはそのせいか。
#長い寿限無くんの名前をみんなが言っている間に起きることが「たんこぶ治っちゃった」みたいなよいことから#「寿限無くん溺れて死んじゃった」みたいな暗いのまで
ITシステムが軒並みバッファオーバーフローしてしまう現代版も作れそうだな
昔は気軽に死んでたけど、時代に合わないってことで死なないように改変されてる。
That's イズミコでしたっけ?
何処ぞでJ15-8とか書いてあったのが、寿限無をローマ字表記して15文字目から8文字って意味だったのが有ったのは覚えている。
jugemujugemugokonosurikire
zyugemuzyugemugokounosurikire
どっちだ?
JASRAC「そのブラックリストには弊社管理のアーティストの歌詞が(以下略)
パスワードに歌詞を入れてもばれることはないし、逆に漏えいしたらJASRACが調べて教えてくれるかもしれない
実は歌詞良いんじゃないか…
>実は歌詞良いんじゃないか…複数人で管理しているマシンのrootパスワードを歌詞から特定アルゴリズムで生成できる文字列で付けていたことはある当然普段はsudoだがどうしてもroot直接でないといかん場合もあったので
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
全通りブラックリスト入りになったらどうすんの? (スコア:0)
もう誰も登録できないじゃん
考えても見なかったの?
Re: (スコア:0)
ちなみに全通りって何通りくらいあるんです?
Re: (スコア:0)
仮に英大文字・英小文字・数字だけの16文字ちょうどのパスワードだと
たったの62^16=47672401706823533450263330816通り。1秒間に1億パターン
チェックした場合150兆年程度でチェックが終わってしまうぐらい弱々。
で、ブラック入りになるパスワードって24文字未満ぐらい???
Re: (スコア:0)
違う、Have I Been PwnedのAPIではSHA-1ハッシュの先頭五文字だけをチェックするだけなので、[0-9a-f]の五文字だから16^5で104万8576通りしかないよ。
やろうと思えば全通りブラックリスト入りさせるのは簡単。Pwnedに104万通り含まれてる嘘のデータセットを送ってしまえばいい。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:2)
HIBPのAPI仕様と使用例を見れば、それが大きな勘違いだと分かると思います。SHA-1ハッシュの先頭五文字で絞り込みはできますが、チェックはできません。
https://haveibeenpwned.com/api/v3#PwnedPasswords [haveibeenpwned.com]
https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
pixivの発表を読む限り、APIを使うんじゃなくてリストを手元に置いて自前で検証するようだから、最大2^160通りは確保できるのでは
Re: (スコア:0)
そんな信憑性のないデータ受け入れると思ってるの?
Re: (スコア:0)
そしたらパスワード長を伸ばせば?
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
// ばれます
Re: (スコア:0)
いや、表記が揺れるので意外といけると思います。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
入力ミスではねられまくりそうな予感。
もしかしたら「一つのパスワードでの認証」自体がセキュリティ的にはアウトになるんやろか。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
オチがいろいろあるのはそのせいか。
#長い寿限無くんの名前をみんなが言っている間に起きることが「たんこぶ治っちゃった」みたいなよいことから
#「寿限無くん溺れて死んじゃった」みたいな暗いのまで
Re: (スコア:0)
ITシステムが軒並みバッファオーバーフローしてしまう現代版も作れそうだな
Re: (スコア:0)
昔は気軽に死んでたけど、時代に合わないってことで死なないように改変されてる。
Re: (スコア:0)
That's イズミコでしたっけ?
Re: (スコア:0)
何処ぞでJ15-8とか書いてあったのが、寿限無をローマ字表記して15文字目から8文字って意味だったのが有ったのは覚えている。
Re: (スコア:0)
jugemujugemugokonosurikire
zyugemuzyugemugokounosurikire
どっちだ?
Re: (スコア:0)
JASRAC「そのブラックリストには弊社管理のアーティストの歌詞が(以下略)
Re: (スコア:0)
パスワードに歌詞を入れてもばれることはないし、
逆に漏えいしたらJASRACが調べて教えてくれるかもしれない
実は歌詞良いんじゃないか…
Re: (スコア:0)
>実は歌詞良いんじゃないか…
複数人で管理しているマシンのrootパスワードを歌詞から特定アルゴリズムで生成できる文字列で付けていたことはある
当然普段はsudoだがどうしてもroot直接でないといかん場合もあったので