アカウント名:
パスワード:
復元されたくないパスワードのハッシュ化には、ちゃんとパスワード用のハッシュ関数(scryptやLyra2など)を使いましょう。SHA-2やSHA-3などの一般的なハッシュは、高速に計算できることを目的として作られているので、GPUによる力技の解読に弱いです。
タレコミ主としてはこの手のツールがもっと広まって、パスワードやハッシュ化の強度が見直されれば良いなぁと思います。
とのことを踏まえつつ、パスワード認証にセキュリティを求めること自体が困難だということを表現したかったのです。 # サービス側もパスワードや2段階認証ではなく、RSAやECDSAによる電子署名を用いた相手認証によるログインを提供して欲しい。
公開鍵認証なら手元の秘密鍵の暗号化にパスフレースが必要ですし、ハードウェアのトークンの場合でも安全性を高めるためにPINを設定したりとしますのでなかなかパスワードの呪縛から逃れるのは容易ではないですねぇ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
復元されたくない場合 (スコア:1)
復元されたくないパスワードのハッシュ化には、ちゃんとパスワード用のハッシュ関数(scryptやLyra2など)を使いましょう。
SHA-2やSHA-3などの一般的なハッシュは、高速に計算できることを目的として作られているので、GPUによる力技の解読に弱いです。
Re: (スコア:1)
# SHA3-512の強度が心配だとすると、ブロック暗号もAES-256ではなくBlowfish-448を使うとか他にも工夫しないといけなくなる…
Re: (スコア:1)
ただ、ユーザー様が設定したパスワードが「PassWard0」とか「$123456$」だった場合は、多くのサービスで「強い」と判定されたパスワードが実は脆弱な場合も [readwrite.jp]ありますので、
1回のハッシュ化に10分費やしたとしても1日に144回試行できるわけで、出回っている辞書を使えば1ヶ月で解かれてしまうと思います。
Re: (スコア:1)
タレコミ主としてはこの手のツールがもっと広まって、パスワードやハッシュ化の強度が見直されれば良いなぁと思います。
とのことを踏まえつつ、パスワード認証にセキュリティを求めること自体が困難だということを表現したかったのです。
# サービス側もパスワードや2段階認証ではなく、RSAやECDSAによる電子署名を用いた相手認証によるログインを提供して欲しい。
Re:復元されたくない場合 (スコア:0)
公開鍵認証なら手元の秘密鍵の暗号化にパスフレースが必要ですし、
ハードウェアのトークンの場合でも安全性を高めるためにPINを設定したりとしますので
なかなかパスワードの呪縛から逃れるのは容易ではないですねぇ
Re:復元されたくない場合 (スコア:1)
それ以上複雑なパスワードを設定していても、襲撃を受けて鹵獲されたICカードから秘密鍵を吸い出されるされるような状況なら、
物理的に拘束されて強度尋問(enhanced interrogation)を受けているでしょうから
関連ストーリー:米国の核ミサイルの発射パスワードは「00000000」だった [security.srad.jp]
本の虫: xkcd: セキュリティ [blogspot.jp]