アカウント名:
パスワード:
ルールは独自でいいんじゃないのかな?
てか、なんでパスワードの強弱を表示するんだろうね?強いって表示して破られたら誰の責任ですかね?
弱いパスワードは危険だからです。そして、弱いパスワードを弱いと表示していないから今回問題になってるのです。何を以って弱いと判定すべきかは、既に流出済パスワードの解析により分かっています。
流出してしまったら強い弱いには関係ないのでは?強いパスワードだろうが流出してしまえば第三者にログインされちゃうでしょ。
通常、パスワードはハッシュ化されて保存されているので、ハッシュ化されたパスワードが流出してしまっても強いパスワードであれば問題は少ないです。しかし、弱いパスワードだと、ハッシュ化されたパスワードから、元のパスワードを取得できてしまいます。
ハッシュ化されたパスワードから元のパスワードを取得する方法としては、例えば総当たり攻撃や、レインボーテーブルを使う方法、辞書攻撃などがあります。辞書攻撃では、攻撃成功率を上げるために、流出済平文パスワードから使用されているパスワードの傾向が調べられています。これらの攻撃に対してパスワードが弱いか強いかは重要なのです。
> 通常、パスワードはハッシュ化されて保存され> ているので、ハッシュ化されたパスワードが流> 出してしまっても強いパスワードであれば問題> は少ないです。
生パスワードが流出しているのですが。
#そうか!まだ春休みか!!
何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。レインボー攻撃に弱い非HMACなハッシュ関数(素のMD5やSHA1)を使っているところは、まだ残ってそう気はしますが。
>生パスワードを保存している所なんて今日びありませんよ
脳みそお花畑やなぁ
何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。
もう少し世間というものを知ろう。
「ソニーはパスワード数千個を『パスワード』というフォルダに保管していた」 [gizmodo.jp]
大事なパスワード保管庫の名前が「Password」って…壁に何発か頭ぶつけてよしだよ!…………フォルダーにはもっと沢山のパスワードが入っています。「Facebookのログインパスワード」というのもあります。誰が見てもパスワード、どこから見てもパスワード。暗号化もセキュリティもなしの平文で、一般常識も小学生並みのオンライン安全対策もなし、です。
CHAPやAPOPを提供しているISPが絶滅していたとは知りませんでした。
> レインボー攻撃に弱い非HMACなハッシュ関数
何の話をしているかは分かりませんが、なんで HMAC が出てくるの?本来、HMAC は秘密鍵を共有していることが前提だから、ハッシュ化はできないよ。MD5 や SHA1 のような前から順番に繰り返し変換するハッシュ関数ならば、途中までハッシュを求めてそれを保存しておくことができるけど、それがレインボーテーブルに対して有効な対策になると、?
もしかして: salt
生パスワードが必要となるクライアント側となれば話は別ですよ。ハッシュだけで十分なサーバー側などとは事情が異なります。パスワードを保存するフォルダに暗号化をかけていても、セッション中はパスワード無しでアクセスできるという状態の所も多いでしょう。
ISPのパスワードは配布される鍵なので例外です。サイトでのパスワードの強度の判定は行いません。行間を読んでくださいな。
HMACは定番のkeyed hashアルゴリズムです。saltは弱かったはず…と思って今確認したところ、レインボーテーブルには強くとも、ブルートフォースやlength extension attacksに弱いとのこと。
「SHA-1+salt」はパスワードに十分だと思いますか?http://blog.f-secure.jp/archives/50564743.html [f-secure.jp]Salted Password Hashing - Doing it Righthttps://crackstation.net/hashing-security.htm [crackstation.net]
> ISPのパスワードは配布される鍵なので例外です。
なにを例にそう言えるの?頭のなか春なの?
> サイトでのパスワードの強度の判定は行いません。
勝手に決めるなよ!
> 行間を読んでくださいな。
君の無さすぎる知能を読むのは無理かな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ルールは独自 (スコア:2)
ルールは独自でいいんじゃないのかな?
てか、なんでパスワードの強弱を表示するんだろうね?
強いって表示して破られたら誰の責任ですかね?
Re: (スコア:0)
弱いパスワードは危険だからです。そして、弱いパスワードを弱いと表示していないから今回問題になってるのです。
何を以って弱いと判定すべきかは、既に流出済パスワードの解析により分かっています。
Re: (スコア:0)
流出してしまったら強い弱いには関係ないのでは?
強いパスワードだろうが流出してしまえば第三者にログインされちゃうでしょ。
Re: (スコア:0)
通常、パスワードはハッシュ化されて保存されているので、ハッシュ化されたパスワードが流出してしまっても強いパスワードであれば問題は少ないです。
しかし、弱いパスワードだと、ハッシュ化されたパスワードから、元のパスワードを取得できてしまいます。
ハッシュ化されたパスワードから元のパスワードを取得する方法としては、例えば総当たり攻撃や、レインボーテーブルを使う方法、辞書攻撃などがあります。
辞書攻撃では、攻撃成功率を上げるために、流出済平文パスワードから使用されているパスワードの傾向が調べられています。
これらの攻撃に対してパスワードが弱いか強いかは重要なのです。
Re: (スコア:0)
> 通常、パスワードはハッシュ化されて保存され
> ているので、ハッシュ化されたパスワードが流
> 出してしまっても強いパスワードであれば問題
> は少ないです。
生パスワードが流出しているのですが。
#そうか!まだ春休みか!!
Re:ルールは独自 (スコア:0)
何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。
レインボー攻撃に弱い非HMACなハッシュ関数(素のMD5やSHA1)を使っているところは、まだ残ってそう気はしますが。
Re: (スコア:0)
>生パスワードを保存している所なんて今日びありませんよ
脳みそお花畑やなぁ
Re: (スコア:0)
何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。
もう少し世間というものを知ろう。
「ソニーはパスワード数千個を『パスワード』というフォルダに保管していた」 [gizmodo.jp]
大事なパスワード保管庫の名前が「Password」って…壁に何発か頭ぶつけてよしだよ!……
……フォルダーにはもっと沢山のパスワードが入っています。「Facebookのログインパスワード」というのもあります。
誰が見てもパスワード、どこから見てもパスワード。
暗号化もセキュリティもなしの平文で、一般常識も小学生並みのオンライン安全対策もなし、です。
Re: (スコア:0)
CHAPやAPOPを提供しているISPが絶滅していたとは知りませんでした。
Re: (スコア:0)
> レインボー攻撃に弱い非HMACなハッシュ関数
何の話をしているかは分かりませんが、なんで HMAC が出てくるの?
本来、HMAC は秘密鍵を共有していることが前提だから、ハッシュ化はできないよ。
MD5 や SHA1 のような前から順番に繰り返し変換するハッシュ関数ならば、途中まで
ハッシュを求めてそれを保存しておくことができるけど、それがレインボーテーブルに対して
有効な対策になると、?
もしかして: salt
Re: (スコア:0)
生パスワードが必要となるクライアント側となれば話は別ですよ。ハッシュだけで十分なサーバー側などとは事情が異なります。
パスワードを保存するフォルダに暗号化をかけていても、セッション中はパスワード無しでアクセスできるという状態の所も多いでしょう。
Re: (スコア:0)
ISPのパスワードは配布される鍵なので例外です。サイトでのパスワードの強度の判定は行いません。行間を読んでくださいな。
Re: (スコア:0)
HMACは定番のkeyed hashアルゴリズムです。
saltは弱かったはず…と思って今確認したところ、レインボーテーブルには強くとも、ブルートフォースやlength extension attacksに弱いとのこと。
「SHA-1+salt」はパスワードに十分だと思いますか?
http://blog.f-secure.jp/archives/50564743.html [f-secure.jp]
Salted Password Hashing - Doing it Right
https://crackstation.net/hashing-security.htm [crackstation.net]
Re: (スコア:0)
> ISPのパスワードは配布される鍵なので例外です
。
なにを例にそう言えるの?
頭のなか春なの?
> サイトでのパスワードの強度の判定は行いません。
勝手に決めるなよ!
> 行間を読んでくださいな。
君の無さすぎる知能を読むのは無理かな。