パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

11歳の米少女、パスワードを生成して販売するビジネスを始める」記事へのコメント

  • by Anonymous Coward on 2015年10月27日 15時22分 (#2907303)

    $ for i in {1..6}; do echo "幼女「$(tr -dc _0-9a-zA-Z </dev/urandom |head -c8)」"; done

    幼女のフリをして2ドル頂く。
    ロリコンをターゲットにした新手の詐欺ですね。

    # どこにも被害者がいない(感動)

    • 6文字のパスワードではなく、単語6個のパスフレーズですよ?

      「debug-livre-stew-tog-pobox-foss」みたいな感じのです。

      「Diceware」の仕様は公開されており、単語1個作るのに5回サイコロを振らないといけない [std.com]ので、30回もサイコロを振る必要があります。1回あたりにすると約7セントですので、お得だと思います。

      あと、幼女のフリをしたおっさんが暗号論的擬似乱数生成器を使う詐欺であれば確かに実害はないかもしれませんが、もしサイコロを振るのが面倒になった幼女が seed を UNIX時間にして乱数を発生させるようなコードを自分で書いて使ってしまったら、脆弱で推測可能なパスフレーズによって重大な被害が生じてしまう恐れがあります。

      # 勿論、幼女に十分なセキュリティ知識があれば seed を時刻にして乱数を発生させるようなことにはなりませんが、子供は「とりあえず動けば良い」という考えでコーディングしがちなので注意が必要なのです。

      親コメント
      • それから、下請けに丸投げを始めてしまうケースも要注意だ。

        親コメント
      • by Anonymous Coward

        6ワードのフレーズを生成して郵送するという用途なら,時間を seed にしても
        そこそこ使えると思います。

        rand(3) の下位ビットを使うのに比べれば。 [srad.jp]

        • そこそこ使えると思います。

          幼女が寝ていると思われる時間と学校に行っていると思われる時間を排除すると1日10時間ぐらいになるので、UNIX時間は1日あたり 36,000 通りしかありません。過去1年以内に作られたものとしても、1300万通りぐらいです。これは、ランダムな英大文字・英小文字・数字の4桁のパスワード(It8A など)よりも弱い強度です。

          認証の試行・失敗回数が制限・記録されておらず、かつストレッチングを行っていないWebシステムであれば、秒間20回ぐらいログイン試行しても管理者が気が付かないことがあるので(最近では格安レンタルサーバでもその程度のアクセス数であれば 503エラーが発生しないことが多く、最近はアクセス解析もサーバのログからではなくGoogleアナリティクスとかを使っているサイト管理者が多いのでJavaScriptを無効にしている不審アクセスに気が付きにくい)、Webシステムに使った場合であっても、1週間ぐらいでクラックされそうです。

          TrueCrypt や ZIP・RAR・ワード・エクセル・パワーポイントファイルの暗号化に使っていた場合や、パスワードハッシュが漏えいしている場合には、オフライン攻撃が可能なのでもっと素早く解析されてしまい、パスフレーズとしての意味がなさないレベルです。

          このように、乱数の種にUNIX時間を使うというのは、現実的な脅威といえます。

          rand(3) の下位ビットを使うのに比べれば。

          確かに、それに比べればかなりマシですね……。

          「次のダイス目が偶数か奇数か推測できる」ボードゲームなんて、論外です。

          親コメント
          • by Anonymous Coward

            おまわりさんこいつです

            • by Anonymous Coward

              攻撃してみた/できたって話でもないのに何言ってんだ。
              攻撃を受ける事態を想定するってのはセキュリティの基本なんだが…
              あんたみたいな奴がノーガード戦法をブチかますんだろうな。失せろ雑魚。

              • by Anonymous Coward

                幼女の生態を考察してるから変態扱いされただけだぞw
                熱くなってバカジャネーノ

          • by Anonymous Coward

            うーん?、単語リストが無い状態でもそうかな?
            単語リストが割れてない状態だと1300万通りなんてもんじゃなくなるけど。

            • by Anonymous Coward

              あ、必ずしもリンク先のリストを使わなければならない理由は無いと思うので、この少女が自前でリストを作ってるとしたらだけど。

      • by Anonymous Coward

        > もしサイコロを振るのが面倒になった幼女が seed を UNIX時間にして乱数を発生させるようなコードを自分で書いて使ってしまったら、

        それはそれでスンゴイですが、#2907303氏の挙げるurandomの使い方を手取り足取り…
        お巡りさん、オレです。

      • by Anonymous Coward
        1st Postにある銃後のご婦人がビンゴマシーン回すのサボって暗号バレた例もあるから子供に限らないよね。
      • by Anonymous Coward

        子供は「とりあえず動けば良い」という考えでコーディングしがちなので注意が必要なのです。

        うお。なんてこった。まわりは子供だらけだ。

物事のやり方は一つではない -- Perlな人

処理中...