パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

金銭が絡むサイトに対し8文字未満のパスワードを設定できなくするよう情報処理推進機構が呼びかけ」記事へのコメント

  • みずほ:半角英数6桁~32桁。大文字・小文字が判別
    三菱東京UFJ:半角英数字・記号8~16桁。大文字と小文字を区別
    三井住友:半角英数字4桁~8桁

    ワンタイムパスワード:三井住友は無料配布、みずほは有料、三菱東京UFJは検討中。

    パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
    結果としてパスワードの使い回しが増えるかもしれません。
    • by Anonymous Coward

      覚えきれない人のために下限は緩くしてもいいから、
      設定したい人のために上限をあげて欲しい

      • 10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。

        --
        マクロの基本は検索置換(by y.mikome)
        • by Anonymous Coward on 2014年08月19日 9時30分 (#2659183)

          ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。

          親コメント
          • by nim (10479) on 2014年08月19日 19時57分 (#2659730)

            いやや、ハッシュにかけていればこそ、最大文字数の制限がある必要はないんだよね。
            元コメントはそれを指摘している。

            #まあ、HTTP POST なので1GBとかあるとアレだけど。

            親コメント
          • by Anonymous Coward

            ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの

            てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど

            • by nim (10479) on 2014年08月19日 20時00分 (#2659733)

              >ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの

              別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。
              今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。

              親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...