パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

金銭が絡むサイトに対し8文字未満のパスワードを設定できなくするよう情報処理推進機構が呼びかけ」記事へのコメント

  • by NOBAX (21937) on 2014年08月19日 8時14分 (#2659153)
    みずほ:半角英数6桁~32桁。大文字・小文字が判別
    三菱東京UFJ:半角英数字・記号8~16桁。大文字と小文字を区別
    三井住友:半角英数字4桁~8桁

    ワンタイムパスワード:三井住友は無料配布、みずほは有料、三菱東京UFJは検討中。

    パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
    結果としてパスワードの使い回しが増えるかもしれません。
    • by nemui4 (20313) on 2014年08月19日 8時30分 (#2659157) 日記

      銀行ATMの暗証番号が数字4桁ってのはもう変えようがないんすかね。
      #ネットバンクは未だにセキュリティ信用できずに使えないというヘタレ

      docomoのパスワードも数字4桁で、何(2?)種類かあるのもわけわかんなくなるので結局全部一緒に設定してしまった。
      #頭悪いととことんゆるゆるになるなぁ・・・

      でかいとこで一社でいろんなサービスをしていて、サービス毎でパスワードを別個に設定させてるところはいらっとする。
      全部いっしょにするのも漏れた時怖いし、微妙に変えるとあまり使わないサービスのパスワード中々思い出せないし。
      #やっぱり頭悪いと(略

      親コメント
      • by Egtra (38265) on 2014年08月19日 9時29分 (#2659182)

        ATMの暗証番号4桁は、「3回ほど間違えたら使用停止(復旧には窓口で本人確認)」という運用だから許されるのだと思っています。

        #とはいえ、語呂合わせで覚えるため、もう少し桁数を多くできると個人的には助かるのですが。

        親コメント
        • by nemui4 (20313) on 2014年08月19日 9時37分 (#2659192) 日記

          >ATMの暗証番号4桁は、「3回ほど間違えたら使用停止(復旧には窓口で本人確認)」という運用だから許されるのだと思っています。

          なるほど、運用実績もあるしそれで十分ってことですね。
          バレタラ終わりってのは何桁にしても一緒だし。

          親コメント
        • by Anonymous Coward

          かつ、最近webでは多い「パスワード固定でのID絨毯爆撃」が原則できない、ってのもありますね。
          物理的なIDキー(キャッシュカード、通帳)が無いとアクセスできないので。

          #磁気テープの不当ハック、スキミングとかは考えないとして

          • by Anonymous Coward

            #磁気テープの不当ハック、スキミングとかは考えないとして

            最近はIC型の普及に努めてるようです。完全移行はまだまだかかると思いますが。
            あと場所が不特定ではなくATMに出向いての事で、防犯カメラもありますから足が付きやすいとか、暗証番号以外でフォローしてる部分が大きいんでしょう。

        • by Anonymous Coward

          暗証番号と物理的なカードがあるから,IDとパスが盗まれるとおしまいのサービスとは別でしょ。

    • by hahahash (41409) on 2014年08月19日 13時30分 (#2659400) 日記

      ジャパンネット銀行は半角英数記号6~8文字。
      ワンタイムパスワードトークン無料配布。

      追加で、半角英数6~32文字のログインIDを設定可能。
      設定するとログイン時に、店番号、口座番号、パスワード、の他にログインIDが必要になる。

      適当に追加IDを設定しておくだけでも、
      パス漏れやブルートフォースの対策になるかもしれない。

      親コメント
    • by Anonymous Coward

      覚えきれない人のために下限は緩くしてもいいから、
      設定したい人のために上限をあげて欲しい

      • 10文字までしか設定させないところが結構あるけど字数上限が小さいところは内部で生パスワードをもっているのでしょうね。

        --
        マクロの基本は検索置換(by y.mikome)
        親コメント
        • by Anonymous Coward

          ハッシュにかけているなら、どれだけ長いパスワードを設定してもハッシュのビット長より強くはならないわけで。

          • by nim (10479) on 2014年08月19日 19時57分 (#2659730)

            いやや、ハッシュにかけていればこそ、最大文字数の制限がある必要はないんだよね。
            元コメントはそれを指摘している。

            #まあ、HTTP POST なので1GBとかあるとアレだけど。

            親コメント
          • by Anonymous Coward

            ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの

            てかそこじゃなくて、桁数リミットがある → 生パスをすぐにハッシュにかけず引き回している → 生パスを比較しているのでは? って疑問だと思うんだけど

            • by nim (10479) on 2014年08月19日 20時00分 (#2659733)

              >ユーザの平均パスワード長か、いっそ最長パスワード長よりハッシュのビット長が長ければいいんじゃないの

              別にパスワードはコンフリクトしてもよいので、パスワード長の制限とは関係なく、ハッシュアルゴリズムと長さが「十分安全」ならそれでいい。
              今なら、(ソルト付)SHA256なら十分といえるんじゃないでしょうか。

              親コメント
      • by Anonymous Coward

        記号が使えないのがイラッとする。パスワードを長くせずに強度を上げる効果的な手段なのに。

        • by Anonymous Coward

          不正処理のリスクを考えると記号は扱いづらい。
          英字大文字小文字、数字まで許可しているならば少々文字数増やすより、
          桁数を1桁でも増やすほうが明らかに(組み合わせ数が爆発的に増える)有効。

          • by Anonymous Coward

            アカウントで記号禁止はともかく、パスワードで記号禁止しないとリスクになるってどういうこと?

            桁数増やすほうが効果的なのは同意。

            • by Anonymous Coward on 2014年08月19日 14時40分 (#2659496)

              インジェクションなんかを防ぐ為のエスケープ処理にバグを入れかねないのでやりたくないって話でしょ。
              上にもある、技術力のなさって奴なんじゃないの。
              桁数増やす方が効果的とかでなく、両方やればより効果的なんだから、やらない理由がない。

              親コメント
          • by Anonymous Coward

            いいえ、文字種を増やす方が有効ですよ

          • by Anonymous Coward

            その辺よくわからないが、まとめてハッシュするんだから、文字種なんでもよくね?
            個人的には、日本語さえありだと思ってる。パスワード入力(マスクかかるあれ)に対応してないのが残念だけど。

          • by Anonymous Coward

            こういうタイプ [slashdot.jp]の人ですか?

          • by Anonymous Coward

            不正処理のリスクって何のこと? まさかをクォートしないとCSSの脆弱性があるとかいう意味じゃないよね。
            それに、辞書攻撃に強くなるんだから、組み合わせ数だけで計れるわけじゃないことくらいわかるでしょ。

        • by Anonymous Coward

          すくなくとも、記号を入れることを強制されるくらいなら使えない方がマシ。
          各サービスで違うパスワードをつかえということは、必然的に規則に従って頭の中で作るということになる。
          (全部を覚えるのは普通の人には到底無理だから)
          その時、基準が違うのは結局忘れるということ。

          スマホだとかで入れにくいし、記号なしで統一してもらう方がありがたい。できれば8文字なんてケチなことは言わず、32-128文字くらい入れられるようにみんな変えてほしい。

    • by Anonymous Coward

      三菱東京UFJはスマホアプリという形であれば提供済みでは。

    • by Anonymous Coward

      もう、正直、新生銀行とか覚えきれなくて、しょっちゅうロックされて電話する羽目になってんだが...

      • by poquitin (42421) on 2014年08月19日 11時05分 (#2659273)

        で、リアルなハッキング成功事例ってパスワードの総当りなんかより電話窓口からのハッキングが多いいんでしょうね

        #となると各種アカウントに使うメールアドレスは誰にも教えちゃいけないのかなと思う今日このごろ

        親コメント
    • by Anonymous Coward

      みずほは以前MAX6文字でした。後ろは切り捨て。

      なので、制度変更で32文字までオッケーになった時にいつものようにパスワードを入れたらエラー!!

    • by Anonymous Coward

      >パスワードを長くすると覚えきれない人が増えるのではないでしょうか。
      意味のあるフレーズを設定できるようになって、忘れにくくなる可能性もあります。
      マルチバイト文字を設定できればもっと良いですね。万葉集から引用してパスワードにするなんてこともできる。
      内部はBASE64にでもエンコードしてからハッシュにかければサニタイズ()なんて言わなくてすむし。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...