アカウント名:
パスワード:
8文字以上のパスワードしか受け付けないようにしたり、記号を必須にしたりすれば、現実問題としてパスワードの使い回しがより頻繁に行われるようになるだけ。IDがメールアドレスならば、リスト型アカウントハッキングが余計に増えます。
もっと現実的な対策として、私は、次のようなポリシーを提案します。
ランダム(暗号論的擬似乱数生成器もしくは現実的にはそれと類する推測不可能性を持つと思われるものに限る。某ネットバンクやJAL・ANAのような連番の数字は論外)な英数字のID(最低8文字)を管理側が一方的に割り当てる。 そして、ユーザーによる任意の文字列への変更は認めない
英数字8文字なら比較的現実的な時間でブルートフォースできてしまいますけどねえ。
英数字8文字(62種類)から、紛らわしい文字を排除して50種類としても、8文字なら、39,062,500,000,000 通りもあります。
ローカルでパスワードのハッシュ値(digest value)から元のパスワードを割り出すような攻撃であれば、現実的な時間でできてしまいますが、インターネット経由であれば困難です。
毎秒100回のアクセスを続けたとしても、全通り試すには、約12387年間かかることになります。
同一のIPアドレスから連続してログインを試みるような攻撃を続けていてはブロックされますから、IPアドレス(BOTなどの踏み台)も多数必要となります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
ランダムなID(変更不可)を割り当てれば解決。パスワードは数字4桁で十分。 (スコア:1)
8文字以上のパスワードしか受け付けないようにしたり、記号を必須にしたりすれば、現実問題としてパスワードの使い回しがより頻繁に行われるようになるだけ。IDがメールアドレスならば、リスト型アカウントハッキングが余計に増えます。
もっと現実的な対策として、私は、次のようなポリシーを提案します。
ランダム(暗号論的擬似乱数生成器もしくは現実的にはそれと類する推測不可能性を持つと思われるものに限る。某ネットバンクやJAL・ANAのような連番の数字は論外)な英数字のID(最低8文字)を管理側が一方的に割り当てる。
そして、ユーザーによる任意の文字列への変更は認めない
Re: (スコア:0)
英数字8文字なら比較的現実的な時間でブルートフォースできてしまいますけどねえ。
Re:ランダムなID(変更不可)を割り当てれば解決。パスワードは数字4桁で十分。 (スコア:1)
英数字8文字(62種類)から、紛らわしい文字を排除して50種類としても、8文字なら、39,062,500,000,000 通りもあります。
ローカルでパスワードのハッシュ値(digest value)から元のパスワードを割り出すような攻撃であれば、現実的な時間でできてしまいますが、インターネット経由であれば困難です。
毎秒100回のアクセスを続けたとしても、全通り試すには、約12387年間かかることになります。
同一のIPアドレスから連続してログインを試みるような攻撃を続けていてはブロックされますから、IPアドレス(BOTなどの踏み台)も多数必要となります。
Re: (スコア:0)
http://blog.tokumaru.org/2013/11/github.html [tokumaru.org]
あと全数じゃなくて「使える」アカウントを見つけ出すだけであれば数ヶ月単位で時間かければ結構引っかかるでしょう。