アカウント名:
パスワード:
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度にしようとすると、log(26+26+10)*8/log(10)≒14.3ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…1234のような辞書に載っている単語もあるのでそういうものは禁止して。
一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。
>1234のような辞書に載っている単語もあるのでそういうものは禁止して。
大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
数字だけの場合、何桁ならOK? (スコア:0)
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。
初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]
変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
Re: (スコア:3, 参考になる)
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度に
しようとすると、
log(26+26+10)*8/log(10)≒14.3
ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
Re: (スコア:0)
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…
1234のような辞書に載っている単語もあるのでそういうものは禁止して。
Re:数字だけの場合、何桁ならOK? (スコア:1)
一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。
>1234のような辞書に載っている単語もあるのでそういうものは禁止して。
大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。
パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。
こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。