アカウント名:
パスワード:
覚えきれない人のために下限は緩くしてもいいから、設定したい人のために上限をあげて欲しい
10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。
ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。
いやや、ハッシュにかけていればこそ、最大文字数の制限がある必要はないんだよね。元コメントはそれを指摘している。
#まあ、HTTP POST なので1GBとかあるとアレだけど。
ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど
>ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。
記号が使えないのがイラッとする。パスワードを長くせずに強度を上げる効果的な手段なのに。
不正処理のリスクを考えると記号は扱いづらい。英字大文字小文字、数字まで許可しているならば少々文字数増やすより、桁数を1桁でも増やすほうが明らかに(組み合わせ数が爆発的に増える)有効。
アカウントで記号禁止はともかく、パスワードで記号禁止しないとリスクになるってどういうこと?
桁数増やすほうが効果的なのは同意。
インジェクションなんかを防ぐ為のエスケープ処理にバグを入れかねないのでやりたくないって話でしょ。上にもある、技術力のなさって奴なんじゃないの。桁数増やす方が効果的とかでなく、両方やればより効果的なんだから、やらない理由がない。
いいえ、文字種を増やす方が有効ですよ
その辺よくわからないが、まとめてハッシュするんだから、文字種なんでもよくね?個人的には、日本語さえありだと思ってる。パスワード入力(マスクかかるあれ)に対応してないのが残念だけど。
記号あり、マスクありだと101キーボードに変わったときに困る。
PC以外だとUIの都合で文字種が制限されているのでは?
そういえば、iOSでフリック入力を使ってアクセント付きアルファベットをパスワードに設定するという話を思い起こしました:【裏技】「見破られにくいのに解除しやすい」魔法のようなパスコードをつくる方法 - たのしいiPhone! AppBank [appbank.net]
こういうタイプ [slashdot.jp]の人ですか?
不正処理のリスクって何のこと? まさかをクォートしないとCSSの脆弱性があるとかいう意味じゃないよね。それに、辞書攻撃に強くなるんだから、組み合わせ数だけで計れるわけじゃないことくらいわかるでしょ。
そういうことだね。
そもそも金銭を扱うサイトを扱う最低限の技術力があるかどうかさえ、あやしいかもしれないので、そんなサイトは利用を避けた方がいいかも。
すくなくとも、記号を入れることを強制されるくらいなら使えない方がマシ。各サービスで違うパスワードをつかえということは、必然的に規則に従って頭の中で作るということになる。(全部を覚えるのは普通の人には到底無理だから)その時、基準が違うのは結局忘れるということ。
スマホだとかで入れにくいし、記号なしで統一してもらう方がありがたい。できれば8文字なんてケチなことは言わず、32-128文字くらい入れられるようにみんな変えてほしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
各行の動向 (スコア:2)
三菱東京UFJ:半角英数字・記号8~16桁。大文字と小文字を区別
三井住友:半角英数字4桁~8桁
ワンタイムパスワード:三井住友は無料配布、みずほは有料、三菱東京UFJは検討中。
パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
結果としてパスワードの使い回しが増えるかもしれません。
Re:各行の動向 (スコア:0)
覚えきれない人のために下限は緩くしてもいいから、
設定したい人のために上限をあげて欲しい
Re:各行の動向 (スコア:1)
10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。
マクロの基本は検索置換(by y.mikome)
Re: (スコア:0)
ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。
Re:各行の動向 (スコア:1)
いやや、ハッシュにかけていればこそ、最大文字数の制限がある必要はないんだよね。
元コメントはそれを指摘している。
#まあ、HTTP POST なので1GBとかあるとアレだけど。
Re: (スコア:0)
ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど
Re:各行の動向 (スコア:1)
>ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。
今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。
Re: (スコア:0)
記号が使えないのがイラッとする。パスワードを長くせずに強度を上げる効果的な手段なのに。
Re: (スコア:0)
不正処理のリスクを考えると記号は扱いづらい。
英字大文字小文字、数字まで許可しているならば少々文字数増やすより、
桁数を1桁でも増やすほうが明らかに(組み合わせ数が爆発的に増える)有効。
Re: (スコア:0)
アカウントで記号禁止はともかく、パスワードで記号禁止しないとリスクになるってどういうこと?
桁数増やすほうが効果的なのは同意。
Re:各行の動向 (スコア:1)
インジェクションなんかを防ぐ為のエスケープ処理にバグを入れかねないのでやりたくないって話でしょ。
上にもある、技術力のなさって奴なんじゃないの。
桁数増やす方が効果的とかでなく、両方やればより効果的なんだから、やらない理由がない。
Re: (スコア:0)
いいえ、文字種を増やす方が有効ですよ
Re: (スコア:0)
その辺よくわからないが、まとめてハッシュするんだから、文字種なんでもよくね?
個人的には、日本語さえありだと思ってる。パスワード入力(マスクかかるあれ)に対応してないのが残念だけど。
Re: (スコア:0)
記号あり、マスクありだと101キーボードに変わったときに困る。
PC以外だとUIの都合で文字種が制限されているのでは?
Re:各行の動向 (スコア:1)
PC以外だとUIの都合で文字種が制限されているのでは?
そういえば、iOSでフリック入力を使ってアクセント付きアルファベットをパスワードに設定するという話を思い起こしました:【裏技】「見破られにくいのに解除しやすい」魔法のようなパスコードをつくる方法 - たのしいiPhone! AppBank [appbank.net]
Re: (スコア:0)
こういうタイプ [slashdot.jp]の人ですか?
Re: (スコア:0)
不正処理のリスクって何のこと? まさかをクォートしないとCSSの脆弱性があるとかいう意味じゃないよね。
それに、辞書攻撃に強くなるんだから、組み合わせ数だけで計れるわけじゃないことくらいわかるでしょ。
Re: (スコア:0)
そういうことだね。
そもそも金銭を扱うサイトを扱う最低限の技術力があるかどうかさえ、あやしいかもしれないので、
そんなサイトは利用を避けた方がいいかも。
Re: (スコア:0)
すくなくとも、記号を入れることを強制されるくらいなら使えない方がマシ。
各サービスで違うパスワードをつかえということは、必然的に規則に従って頭の中で作るということになる。
(全部を覚えるのは普通の人には到底無理だから)
その時、基準が違うのは結局忘れるということ。
スマホだとかで入れにくいし、記号なしで統一してもらう方がありがたい。できれば8文字なんてケチなことは言わず、32-128文字くらい入れられるようにみんな変えてほしい。