アカウント名:
パスワード:
ルールは独自でいいんじゃないのかな?
てか、なんでパスワードの強弱を表示するんだろうね?強いって表示して破られたら誰の責任ですかね?
弱いパスワードは危険だからです。そして、弱いパスワードを弱いと表示していないから今回問題になってるのです。何を以って弱いと判定すべきかは、既に流出済パスワードの解析により分かっています。
流出してしまったら強い弱いには関係ないのでは?強いパスワードだろうが流出してしまえば第三者にログインされちゃうでしょ。
通常、パスワードはハッシュ化されて保存されているので、ハッシュ化されたパスワードが流出してしまっても強いパスワードであれば問題は少ないです。しかし、弱いパスワードだと、ハッシュ化されたパスワードから、元のパスワードを取得できてしまいます。
ハッシュ化されたパスワードから元のパスワードを取得する方法としては、例えば総当たり攻撃や、レインボーテーブルを使う方法、辞書攻撃などがあります。辞書攻撃では、攻撃成功率を上げるために、流出済平文パスワードから使用されているパスワードの傾向が調べられています。これらの攻撃に対してパスワードが弱いか強いかは重要なのです。
それは流出したのはパスワードではなくハッシュですよね。最近でいうとTwitterレイバンのような、本当にパスワードが流出した場合のことを言ったつもりでした。
Twitterでのレイバンの件は未だ原因不明ですが、Yahooのハッシュ化パスワードの流出によるものか、もしくはパスワード固定型のID総当り攻撃と言われているようです。いずれにせよ、パスワードが流出したものではないかと。
あなたのソーシャルアカウントは今初めて乗っ取られた訳ではないhttp://blogos.com/article/107921/ [blogos.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
ルールは独自 (スコア:2)
ルールは独自でいいんじゃないのかな?
てか、なんでパスワードの強弱を表示するんだろうね?
強いって表示して破られたら誰の責任ですかね?
Re: (スコア:0)
弱いパスワードは危険だからです。そして、弱いパスワードを弱いと表示していないから今回問題になってるのです。
何を以って弱いと判定すべきかは、既に流出済パスワードの解析により分かっています。
Re: (スコア:0)
流出してしまったら強い弱いには関係ないのでは?
強いパスワードだろうが流出してしまえば第三者にログインされちゃうでしょ。
Re: (スコア:0)
通常、パスワードはハッシュ化されて保存されているので、ハッシュ化されたパスワードが流出してしまっても強いパスワードであれば問題は少ないです。
しかし、弱いパスワードだと、ハッシュ化されたパスワードから、元のパスワードを取得できてしまいます。
ハッシュ化されたパスワードから元のパスワードを取得する方法としては、例えば総当たり攻撃や、レインボーテーブルを使う方法、辞書攻撃などがあります。
辞書攻撃では、攻撃成功率を上げるために、流出済平文パスワードから使用されているパスワードの傾向が調べられています。
これらの攻撃に対してパスワードが弱いか強いかは重要なのです。
Re:ルールは独自 (スコア:0)
それは流出したのはパスワードではなくハッシュですよね。
最近でいうとTwitterレイバンのような、本当にパスワードが流出した場合のことを言ったつもりでした。
Re: (スコア:0)
Twitterでのレイバンの件は未だ原因不明ですが、Yahooのハッシュ化パスワードの流出によるものか、もしくはパスワード固定型のID総当り攻撃と言われているようです。
いずれにせよ、パスワードが流出したものではないかと。
あなたのソーシャルアカウントは今初めて乗っ取られた訳ではない
http://blogos.com/article/107921/ [blogos.com]