アカウント名:
パスワード:
銀行ATMの暗証番号が数字4桁ってのはもう変えようがないんすかね。#ネットバンクは未だにセキュリティ信用できずに使えないというヘタレ
docomoのパスワードも数字4桁で、何(2?)種類かあるのもわけわかんなくなるので結局全部一緒に設定してしまった。#頭悪いととことんゆるゆるになるなぁ・・・
でかいとこで一社でいろんなサービスをしていて、サービス毎でパスワードを別個に設定させてるところはいらっとする。全部いっしょにするのも漏れた時怖いし、微妙に変えるとあまり使わないサービスのパスワード中々思い出せないし。#やっぱり頭悪いと(略
ATMの暗証番号4桁は、「3回ほど間違えたら使用停止(復旧には窓口で本人確認)」という運用だから許されるのだと思っています。
#とはいえ、語呂合わせで覚えるため、もう少し桁数を多くできると個人的には助かるのですが。
>ATMの暗証番号4桁は、「3回ほど間違えたら使用停止(復旧には窓口で本人確認)」という運用だから許されるのだと思っています。
なるほど、運用実績もあるしそれで十分ってことですね。バレタラ終わりってのは何桁にしても一緒だし。
ちょうど、こんな事件がありました:サーファーの暗証番号は「1173」金引き出す : 社会 : 読売新聞(YOMIURI ONLINE) [yomiuri.co.jp]。
手口は九十九里浜などの海岸沿いで、海水浴客らの車の窓をハンマーで割るもの。3人は、サーファーが銀行口座の暗証番号を「1173」(いい波)に設定していることが多いと聞きつけ、件数などは不明だが、この番号で現金を引き出すなどしていたという。
これは、リバースブルートフォース攻撃のようなものと言えるのでしょうかね?
サーファー仲間内では常識だったのかな。
いい意味で、サーファーの人たちって思ってた以上に突き抜けてさわやかな世界っぽい。
実家の銀行だと暗証番号が生年月日だと警告出ますよ。
親族の生年月日とか電話番号下四ケタとか、顧客管理情報に乗ってる数字なんかはさすがに突き合せて警告出してるんでしょうね。
かつ、最近webでは多い「パスワード固定でのID絨毯爆撃」が原則できない、ってのもありますね。物理的なIDキー(キャッシュカード、通帳)が無いとアクセスできないので。
#磁気テープの不当ハック、スキミングとかは考えないとして
最近はIC型の普及に努めてるようです。完全移行はまだまだかかると思いますが。あと場所が不特定ではなくATMに出向いての事で、防犯カメラもありますから足が付きやすいとか、暗証番号以外でフォローしてる部分が大きいんでしょう。
暗証番号と物理的なカードがあるから,IDとパスが盗まれるとおしまいのサービスとは別でしょ。
ジャパンネット銀行は半角英数記号6~8文字。ワンタイムパスワードトークン無料配布。
追加で、半角英数6~32文字のログインIDを設定可能。設定するとログイン時に、店番号、口座番号、パスワード、の他にログインIDが必要になる。
適当に追加IDを設定しておくだけでも、パス漏れやブルートフォースの対策になるかもしれない。
覚えきれない人のために下限は緩くしてもいいから、設定したい人のために上限をあげて欲しい
10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。
ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。
いやや、ハッシュにかけていればこそ、最大文字数の制限がある必要はないんだよね。元コメントはそれを指摘している。
#まあ、HTTP POST なので1GBとかあるとアレだけど。
ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど
>ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。
記号が使えないのがイラッとする。パスワードを長くせずに強度を上げる効果的な手段なのに。
不正処理のリスクを考えると記号は扱いづらい。英字大文字小文字、数字まで許可しているならば少々文字数増やすより、桁数を1桁でも増やすほうが明らかに(組み合わせ数が爆発的に増える)有効。
アカウントで記号禁止はともかく、パスワードで記号禁止しないとリスクになるってどういうこと?
桁数増やすほうが効果的なのは同意。
インジェクションなんかを防ぐ為のエスケープ処理にバグを入れかねないのでやりたくないって話でしょ。上にもある、技術力のなさって奴なんじゃないの。桁数増やす方が効果的とかでなく、両方やればより効果的なんだから、やらない理由がない。
いいえ、文字種を増やす方が有効ですよ
その辺よくわからないが、まとめてハッシュするんだから、文字種なんでもよくね?個人的には、日本語さえありだと思ってる。パスワード入力(マスクかかるあれ)に対応してないのが残念だけど。
記号あり、マスクありだと101キーボードに変わったときに困る。
PC以外だとUIの都合で文字種が制限されているのでは?
そういえば、iOSでフリック入力を使ってアクセント付きアルファベットをパスワードに設定するという話を思い起こしました:【裏技】「見破られにくいのに解除しやすい」魔法のようなパスコードをつくる方法 - たのしいiPhone! AppBank [appbank.net]
こういうタイプ [slashdot.jp]の人ですか?
不正処理のリスクって何のこと? まさかをクォートしないとCSSの脆弱性があるとかいう意味じゃないよね。それに、辞書攻撃に強くなるんだから、組み合わせ数だけで計れるわけじゃないことくらいわかるでしょ。
そういうことだね。
そもそも金銭を扱うサイトを扱う最低限の技術力があるかどうかさえ、あやしいかもしれないので、そんなサイトは利用を避けた方がいいかも。
すくなくとも、記号を入れることを強制されるくらいなら使えない方がマシ。各サービスで違うパスワードをつかえということは、必然的に規則に従って頭の中で作るということになる。(全部を覚えるのは普通の人には到底無理だから)その時、基準が違うのは結局忘れるということ。
スマホだとかで入れにくいし、記号なしで統一してもらう方がありがたい。できれば8文字なんてケチなことは言わず、32-128文字くらい入れられるようにみんな変えてほしい。
三菱東京UFJはスマホアプリという形であれば提供済みでは。
もう、正直、新生銀行とか覚えきれなくて、しょっちゅうロックされて電話する羽目になってんだが...
で、リアルなハッキング成功事例ってパスワードの総当りなんかより電話窓口からのハッキングが多いいんでしょうね
#となると各種アカウントに使うメールアドレスは誰にも教えちゃいけないのかなと思う今日このごろ
みずほは以前MAX6文字でした。後ろは切り捨て。
なので、制度変更で32文字までオッケーになった時にいつものようにパスワードを入れたらエラー!!
>パスワードを長くすると覚えきれない人が増えるのではないでしょうか。意味のあるフレーズを設定できるようになって、忘れにくくなる可能性もあります。マルチバイト文字を設定できればもっと良いですね。万葉集から引用してパスワードにするなんてこともできる。内部はBASE64にでもエンコードしてからハッシュにかければサニタイズ()なんて言わなくてすむし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
各行の動向 (スコア:2)
三菱東京UFJ:半角英数字・記号8~16桁。大文字と小文字を区別
三井住友:半角英数字4桁~8桁
ワンタイムパスワード:三井住友は無料配布、みずほは有料、三菱東京UFJは検討中。
パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
結果としてパスワードの使い回しが増えるかもしれません。
Re:各行の動向 (スコア:1)
銀行ATMの暗証番号が数字4桁ってのはもう変えようがないんすかね。
#ネットバンクは未だにセキュリティ信用できずに使えないというヘタレ
docomoのパスワードも数字4桁で、何(2?)種類かあるのもわけわかんなくなるので結局全部一緒に設定してしまった。
#頭悪いととことんゆるゆるになるなぁ・・・
でかいとこで一社でいろんなサービスをしていて、サービス毎でパスワードを別個に設定させてるところはいらっとする。
全部いっしょにするのも漏れた時怖いし、微妙に変えるとあまり使わないサービスのパスワード中々思い出せないし。
#やっぱり頭悪いと(略
Re:各行の動向 (スコア:2)
ATMの暗証番号4桁は、「3回ほど間違えたら使用停止(復旧には窓口で本人確認)」という運用だから許されるのだと思っています。
#とはいえ、語呂合わせで覚えるため、もう少し桁数を多くできると個人的には助かるのですが。
Re:各行の動向 (スコア:1)
>ATMの暗証番号4桁は、「3回ほど間違えたら使用停止(復旧には窓口で本人確認)」という運用だから許されるのだと思っています。
なるほど、運用実績もあるしそれで十分ってことですね。
バレタラ終わりってのは何桁にしても一緒だし。
Re:各行の動向 (スコア:1)
ちょうど、こんな事件がありました:サーファーの暗証番号は「1173」金引き出す : 社会 : 読売新聞(YOMIURI ONLINE) [yomiuri.co.jp]。
これは、リバースブルートフォース攻撃のようなものと言えるのでしょうかね?
Re:各行の動向 (スコア:1)
サーファー仲間内では常識だったのかな。
いい意味で、サーファーの人たちって思ってた以上に突き抜けてさわやかな世界っぽい。
Re: (スコア:0)
実家の銀行だと暗証番号が生年月日だと警告出ますよ。
Re:各行の動向 (スコア:1)
親族の生年月日とか電話番号下四ケタとか、顧客管理情報に乗ってる数字なんかはさすがに突き合せて警告出してるんでしょうね。
Re: (スコア:0)
かつ、最近webでは多い「パスワード固定でのID絨毯爆撃」が原則できない、ってのもありますね。
物理的なIDキー(キャッシュカード、通帳)が無いとアクセスできないので。
#磁気テープの不当ハック、スキミングとかは考えないとして
Re: (スコア:0)
#磁気テープの不当ハック、スキミングとかは考えないとして
最近はIC型の普及に努めてるようです。完全移行はまだまだかかると思いますが。
あと場所が不特定ではなくATMに出向いての事で、防犯カメラもありますから足が付きやすいとか、暗証番号以外でフォローしてる部分が大きいんでしょう。
Re: (スコア:0)
暗証番号と物理的なカードがあるから,IDとパスが盗まれるとおしまいのサービスとは別でしょ。
Re:各行の動向 (スコア:1)
ジャパンネット銀行は半角英数記号6~8文字。
ワンタイムパスワードトークン無料配布。
追加で、半角英数6~32文字のログインIDを設定可能。
設定するとログイン時に、店番号、口座番号、パスワード、の他にログインIDが必要になる。
適当に追加IDを設定しておくだけでも、
パス漏れやブルートフォースの対策になるかもしれない。
Re: (スコア:0)
覚えきれない人のために下限は緩くしてもいいから、
設定したい人のために上限をあげて欲しい
Re:各行の動向 (スコア:1)
10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。
マクロの基本は検索置換(by y.mikome)
Re: (スコア:0)
ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。
Re:各行の動向 (スコア:1)
いやや、ハッシュにかけていればこそ、最大文字数の制限がある必要はないんだよね。
元コメントはそれを指摘している。
#まあ、HTTP POST なので1GBとかあるとアレだけど。
Re: (スコア:0)
ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど
Re:各行の動向 (スコア:1)
>ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの
別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。
今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。
Re: (スコア:0)
記号が使えないのがイラッとする。パスワードを長くせずに強度を上げる効果的な手段なのに。
Re: (スコア:0)
不正処理のリスクを考えると記号は扱いづらい。
英字大文字小文字、数字まで許可しているならば少々文字数増やすより、
桁数を1桁でも増やすほうが明らかに(組み合わせ数が爆発的に増える)有効。
Re: (スコア:0)
アカウントで記号禁止はともかく、パスワードで記号禁止しないとリスクになるってどういうこと?
桁数増やすほうが効果的なのは同意。
Re:各行の動向 (スコア:1)
インジェクションなんかを防ぐ為のエスケープ処理にバグを入れかねないのでやりたくないって話でしょ。
上にもある、技術力のなさって奴なんじゃないの。
桁数増やす方が効果的とかでなく、両方やればより効果的なんだから、やらない理由がない。
Re: (スコア:0)
いいえ、文字種を増やす方が有効ですよ
Re: (スコア:0)
その辺よくわからないが、まとめてハッシュするんだから、文字種なんでもよくね?
個人的には、日本語さえありだと思ってる。パスワード入力(マスクかかるあれ)に対応してないのが残念だけど。
Re: (スコア:0)
記号あり、マスクありだと101キーボードに変わったときに困る。
PC以外だとUIの都合で文字種が制限されているのでは?
Re:各行の動向 (スコア:1)
PC以外だとUIの都合で文字種が制限されているのでは?
そういえば、iOSでフリック入力を使ってアクセント付きアルファベットをパスワードに設定するという話を思い起こしました:【裏技】「見破られにくいのに解除しやすい」魔法のようなパスコードをつくる方法 - たのしいiPhone! AppBank [appbank.net]
Re: (スコア:0)
こういうタイプ [slashdot.jp]の人ですか?
Re: (スコア:0)
不正処理のリスクって何のこと? まさかをクォートしないとCSSの脆弱性があるとかいう意味じゃないよね。
それに、辞書攻撃に強くなるんだから、組み合わせ数だけで計れるわけじゃないことくらいわかるでしょ。
Re: (スコア:0)
そういうことだね。
そもそも金銭を扱うサイトを扱う最低限の技術力があるかどうかさえ、あやしいかもしれないので、
そんなサイトは利用を避けた方がいいかも。
Re: (スコア:0)
すくなくとも、記号を入れることを強制されるくらいなら使えない方がマシ。
各サービスで違うパスワードをつかえということは、必然的に規則に従って頭の中で作るということになる。
(全部を覚えるのは普通の人には到底無理だから)
その時、基準が違うのは結局忘れるということ。
スマホだとかで入れにくいし、記号なしで統一してもらう方がありがたい。できれば8文字なんてケチなことは言わず、32-128文字くらい入れられるようにみんな変えてほしい。
Re: (スコア:0)
三菱東京UFJはスマホアプリという形であれば提供済みでは。
Re: (スコア:0)
もう、正直、新生銀行とか覚えきれなくて、しょっちゅうロックされて電話する羽目になってんだが...
Re:各行の動向 (スコア:3)
で、リアルなハッキング成功事例ってパスワードの総当りなんかより電話窓口からのハッキングが多いいんでしょうね
#となると各種アカウントに使うメールアドレスは誰にも教えちゃいけないのかなと思う今日このごろ
Re: (スコア:0)
みずほは以前MAX6文字でした。後ろは切り捨て。
なので、制度変更で32文字までオッケーになった時にいつものようにパスワードを入れたらエラー!!
Re: (スコア:0)
>パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
意味のあるフレーズを設定できるようになって、忘れにくくなる可能性もあります。
マルチバイト文字を設定できればもっと良いですね。万葉集から引用してパスワードにするなんてこともできる。
内部はBASE64にでもエンコードしてからハッシュにかければサニタイズ()なんて言わなくてすむし。