アカウント名:
パスワード:
あのPマークでさえパスワードの字数に制限を付けるよう指導しているというのに
字数に制限とだけ言うと、「パスワードは16文字まで」みたいな「制限」を思い浮かべてしまう。
パスワードの標準化と言われると、「パスワードは123456で統一しましょう」みたいな「標準化」を思い浮かべてしまう。
IDは16文字以上で数字、記号を含んだものにしましょう
FIPSとか出してるNISTがまとめてると思うんだけど、SP 800-118 DRAFT Guide to Enterprise Password Management [nist.gov]こんな感じで標準的な手順というより解説みたいになってるんですよね。ストレージがなんであれ、保存前までの手順は標準化できないものかな。
もっと昔は1985年にDoDから、CSC-STD-002-85 DEPARTMENT OF DEFENSE PASSWORD MANAGEMENT GUIDELINE [dtic.mil] (通称Green Book)というのがありまして。パスワード突破確率とパスワード変更周期を想定してパスワード長を決定するという数式があるんですが、想定しているシステム環境がとても今の時代に合うものじゃないんですよねー。
ジョークRFCみたいにパスワード平文保存をIEEE xxxとして標準化するぐらいの気持ちが欲しいなぁ。で、セキュリティを上げたのをIEEE xxx.a IEEE xxx.bと追加していくと。
#『このアプリケーションはパスワードの保存規格として標準的なIEEE xxx無印を採用しています』とか書きたいだけだったり
#IEEEの鏡文字『3331』はさすがに上位ではなかったか
>#IEEEの鏡文字『3331』こんどそれにしょう、さんきゅ
つまり、Anonymous Cowardのパスワードは3331ってことだな。いいこと聞いた。こんどAnonymous Cowardに成りすますときに使おう
「記号は使えない」と「記号を含めろ」が混在している状況ははなんとかして欲しいね。
あと、「4桁の数字のみ」も。
そんな他人のバラすような真似できるようなわけがない暗号強度を表示するサイトとかならあるが
アカウントロックのいやがらせ攻撃ができるわけですねきみクビね
元コメはメッセージの文面が悪いだけ。単に「パスワードとして使えません」と出すだけでいい。
UNIXだと、辞書を引っ張ってきて、強度の低いパスワードを設定できないようにしているところは多いと思う。
# 平分のパスワードを漏洩させるところって、どうしてハッシュ値だけにしておかないのだろう。
「そのバズワード(buzzword)は既に使用されています。他のバズワードを選択してください」なら仕事でよく出すな。「えーまたビックデータ? もうちょっとワクワクするネタないの?」# そんなそうそういいネタ出せるかー!!!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
緊急にパスワードの標準化が求められる (スコア:0)
あのPマークでさえパスワードの字数に制限を付けるよう指導しているというのに
Re:緊急にパスワードの標準化が求められる (スコア:3, おもしろおかしい)
字数に制限とだけ言うと、
「パスワードは16文字まで」みたいな「制限」を思い浮かべてしまう。
Re:緊急にパスワードの標準化が求められる (スコア:2, おもしろおかしい)
パスワードの標準化と言われると、「パスワードは123456で統一しましょう」みたいな「標準化」を思い浮かべてしまう。
Re: (スコア:0)
IDは16文字以上で数字、記号を含んだものにしましょう
Re:緊急にパスワードの標準化が求められる (スコア:1)
FIPSとか出してるNISTがまとめてると思うんだけど、SP 800-118 DRAFT Guide to Enterprise Password Management [nist.gov]こんな感じで標準的な手順というより解説みたいになってるんですよね。
ストレージがなんであれ、保存前までの手順は標準化できないものかな。
Re:緊急にパスワードの標準化が求められる (スコア:3, 参考になる)
もっと昔は1985年にDoDから、CSC-STD-002-85 DEPARTMENT OF DEFENSE PASSWORD MANAGEMENT GUIDELINE [dtic.mil] (通称Green Book)というのがありまして。
パスワード突破確率とパスワード変更周期を想定してパスワード長を決定するという数式があるんですが、想定しているシステム環境がとても今の時代に合うものじゃないんですよねー。
Re:緊急にパスワードの標準化が求められる (スコア:1)
ジョークRFCみたいにパスワード平文保存をIEEE xxxとして標準化するぐらいの気持ちが欲しいなぁ。
で、セキュリティを上げたのをIEEE xxx.a IEEE xxx.bと追加していくと。
#『このアプリケーションはパスワードの保存規格として標準的なIEEE xxx無印を採用しています』とか書きたいだけだったり
#IEEEの鏡文字『3331』はさすがに上位ではなかったか
Re:緊急にパスワードの標準化が求められる (スコア:1)
>#IEEEの鏡文字『3331』
こんどそれにしょう、さんきゅ
Re: (スコア:0)
つまり、Anonymous Cowardのパスワードは3331ってことだな。
いいこと聞いた。こんどAnonymous Cowardに成りすますときに使おう
Re:緊急にパスワードの標準化が求められる (スコア:1)
Re:緊急にパスワードの標準化が求められる (スコア:1)
「記号は使えない」と「記号を含めろ」が混在している状況ははなんとかして欲しいね。
Re:緊急にパスワードの標準化が求められる (スコア:1)
Re: (スコア:0)
なんとかするのは case insensitive の方じゃないの?
Re: (スコア:0)
あと、「4桁の数字のみ」も。
Re: (スコア:0)
Re: (スコア:0)
そんな他人のバラすような真似できるようなわけがない
暗号強度を表示するサイトとかならあるが
Re: (スコア:0)
Re: (スコア:0)
アカウントロックのいやがらせ攻撃ができるわけですね
きみクビね
Re: (スコア:0)
攻撃する側は、一度だけ嫌がらせができるけど、それ以上に得られるものは全くない。被攻撃者が難解なパスワードに変更する毎にその嫌がらせも困難になる。
きみもクビね。
Re: (スコア:0)
元コメはメッセージの文面が悪いだけ。
単に「パスワードとして使えません」と出すだけでいい。
UNIXだと、辞書を引っ張ってきて、強度の低いパスワードを設定できないようにしているところは多いと思う。
# 平分のパスワードを漏洩させるところって、どうしてハッシュ値だけにしておかないのだろう。
Re: (スコア:0)
「そのバズワード(buzzword)は既に使用されています。他のバズワードを選択してください」
なら仕事でよく出すな。
「えーまたビックデータ? もうちょっとワクワクするネタないの?」
# そんなそうそういいネタ出せるかー!!!