アカウント名:
パスワード:
123456「関係ないね」password「全くだ」
正直16文字は多いせいぜい6~8文字が限界
パスワードをランダムな文字の組み合わせにしなければいけないというのはたった6~8文字しか使えない場合の苦肉の策にすぎない。https://xkcd.com/936/ [xkcd.com]16文字とか中途半端で最悪。
そんな長いパスワードを許してくれるサイトなんてまれなんだから、結局短くて強いパスワードも使わざるをえない。だったらパスワード管理ツール使ったほうが、楽だし安全なんじゃないのかなぁ?(使ってないけど)もっとも、地元地方銀行のネットバンキング、パスワードは4桁の数字しか許してくれないんだけどね。バカなの?十八銀行。
親和銀行を使えというお告げなんだよきっと。長崎のメーンバンクシェア1, 2位 (合計シェア80%以上) は十八銀行と親和銀行らしいから。http://www.tdb.co.jp/report/watching/press/pdf/s100801_85.pdf [tdb.co.jp]
参考までに長崎メーンバンクシェア1%以上の銀行 (表1の7位まで)を"銀行名 ワンタイム"でググッた結果、情報が出るのはこんな感じ。親和銀行: http://www.shinwabank.co.jp/personal/service/directbanking/security/onetime/ [shinwabank.co.jp]たちばな信用金庫: http://www.shinkin.co.jp/t1942/cib/docs/service/service.html [shinkin.co.jp] (普通の使い方と意味違う?)長崎銀行: http://www.nagasakibank.co.jp/kojin/pdf/manual-1.pdf [nagasakibank.co.jp]西日本シティ: http://www.ncbank.co.jp/direct/otp/index.html [ncbank.co.jp]九州ひぜん信用金庫: http://www.hizeshin.co.jp/hib/rule/index.php [hizeshin.co.jp]佐賀銀行: http://www.sagabank.co.jp/service/ibanking/manual/sumafo.pdf [sagabank.co.jp]
こうして見ると、十八銀行のセキュリティへの投資の低さが目につくほど。でも、市場シェアが1位だとそこにあぐらをかいてあんまりセキュリティに対する投資なんてしないものなのかも。三大都市銀行でもシェア1位の東京三菱UFJ銀行は今年になってやっとOTP対応だし。1位 東京三菱UFJ銀行: 2012年 http://direct.bk.mufg.jp/info_news/20111220_onetimepw/index.html [bk.mufg.jp]2位 三井住友銀行: 2007年 http://www.smbc.co.jp/news/j600034_01.html [smbc.co.jp]3位 みずほ銀行: 2008年 http://www.mizuhobank.co.jp/company/release/2008/pdf/news080219_1.pdf [mizuhobank.co.jp]ちなみに、シェアの順位は帝国データバンクのこの資料から (http://www.tdb.co.jp/report/watching/press/pdf/p111106.pdf)
OTPをサポートしていないインターネットバンキングなんて死ねばいいと思う。
長野県の八十二銀行は、企業向けサービスではトークン支給してOTP式にしたが、個人向けは未だカードの乱数表(10個だけ)対応。乱数表なんて見られちゃったらアウトで悪用されるまで気づかないという非常にやばいものなのに。ちなみにログインパスワードは六桁英数。死ね。
失効したクレカの番号をパスワードにしているから、16 桁ならぴったりだわ。
ちなみに、8 文字のランダムな英数記号と 16 桁のランダムな数値のエントロピーはほぼ同じ。6,634,204,312,890,625 (95^8) < 10,000,000,000,000,000 (10^16)
クレカの番号には構造があってどんな組み合わせも可能なわけではないと思うが。どこの楽天ISBNだよ。
#2237030のACが誰か特定できればそういう返しも有効なんだろうけれど。
16桁のクレカの最後の番号はcheck digitだし、頭六文字は発行会社の識別に使われるようになっている。http://en.wikipedia.org/wiki/Bank_card_number [wikipedia.org]
だから、「クレカの番号=16桁のランダムの数値」では無い、ってことが言いたいのでは。
そして「16文字のパスワードを入力して下さい」と言われると16文字からクレカを連想して、その番号を入れるというのは結構ある気がするし、パターンを攻撃者に狙われる可能性は高いよね。
数字のみで許してくれる所はすくない
自分が攻撃側なら特定の集合を排除していい条件にしか思えない>数字のみ不可
良くある脆弱なパスワードを許可しない場合だと、アタックかける前段階で辞書から、「英(大小文字混在)、数字、記号が一回も出ないパスワード」を排除出来るよね。
だからといって、8文字が最大なのは問題だと思うんだ
ポータルサイトに思ってること - Windows 2000 Blog [livedoor.jp]【ハンゲーム】ログインパスワード強化・仕様変更のお知らせ [hangame.co.jp]
こっちのサイトは 何年間4~8文字だったんだろう・ω・
AmazonEC2を使えば、10文字のパスワードは$2,300以下で破れるそうです。これからはクラウドの時代、なんでもカネ次第ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
abc123 (スコア:5, おもしろおかしい)
123456「関係ないね」
password「全くだ」
Re:abc123 (スコア:0)
正直16文字は多い
せいぜい6~8文字が限界
Re:abc123 (スコア:1)
パスワードをランダムな文字の組み合わせにしなければいけないというのはたった6~8文字しか使えない場合の苦肉の策にすぎない。
https://xkcd.com/936/ [xkcd.com]
16文字とか中途半端で最悪。
Re:abc123 (スコア:1)
そんな長いパスワードを許してくれるサイトなんてまれなんだから、
結局短くて強いパスワードも使わざるをえない。
だったらパスワード管理ツール使ったほうが、
楽だし安全なんじゃないのかなぁ?(使ってないけど)
もっとも、地元地方銀行のネットバンキング、
パスワードは4桁の数字しか許してくれないんだけどね。
バカなの?十八銀行。
Re:abc123 (スコア:1)
親和銀行を使えというお告げなんだよきっと。
長崎のメーンバンクシェア1, 2位 (合計シェア80%以上) は十八銀行と親和銀行らしいから。
http://www.tdb.co.jp/report/watching/press/pdf/s100801_85.pdf [tdb.co.jp]
参考までに長崎メーンバンクシェア1%以上の銀行 (表1の7位まで)を"銀行名 ワンタイム"でググッた結果、情報が出るのはこんな感じ。
親和銀行: http://www.shinwabank.co.jp/personal/service/directbanking/security/onetime/ [shinwabank.co.jp]
たちばな信用金庫: http://www.shinkin.co.jp/t1942/cib/docs/service/service.html [shinkin.co.jp] (普通の使い方と意味違う?)
長崎銀行: http://www.nagasakibank.co.jp/kojin/pdf/manual-1.pdf [nagasakibank.co.jp]
西日本シティ: http://www.ncbank.co.jp/direct/otp/index.html [ncbank.co.jp]
九州ひぜん信用金庫: http://www.hizeshin.co.jp/hib/rule/index.php [hizeshin.co.jp]
佐賀銀行: http://www.sagabank.co.jp/service/ibanking/manual/sumafo.pdf [sagabank.co.jp]
こうして見ると、十八銀行のセキュリティへの投資の低さが目につくほど。
でも、市場シェアが1位だとそこにあぐらをかいてあんまりセキュリティに対する投資なんてしないものなのかも。
三大都市銀行でもシェア1位の東京三菱UFJ銀行は今年になってやっとOTP対応だし。
1位 東京三菱UFJ銀行: 2012年 http://direct.bk.mufg.jp/info_news/20111220_onetimepw/index.html [bk.mufg.jp]
2位 三井住友銀行: 2007年 http://www.smbc.co.jp/news/j600034_01.html [smbc.co.jp]
3位 みずほ銀行: 2008年 http://www.mizuhobank.co.jp/company/release/2008/pdf/news080219_1.pdf [mizuhobank.co.jp]
ちなみに、シェアの順位は帝国データバンクのこの資料から (http://www.tdb.co.jp/report/watching/press/pdf/p111106.pdf)
OTPをサポートしていないインターネットバンキングなんて死ねばいいと思う。
One Time Password (スコア:0)
長野県の八十二銀行は、企業向けサービスではトークン支給してOTP式にしたが、個人向けは未だカードの乱数表(10個だけ)対応。
乱数表なんて見られちゃったらアウトで悪用されるまで気づかないという非常にやばいものなのに。
ちなみにログインパスワードは六桁英数。死ね。
Re:abc123 (スコア:1)
いや、17文字にしてほしい。
そうすれば日本人的には5・7・5で区切って覚えれば覚えやすい。
Re: (スコア:0)
それなんて復活の呪文
Re: (スコア:0)
失効したクレカの番号をパスワードにしているから、16 桁ならぴったりだわ。
ちなみに、8 文字のランダムな英数記号と 16 桁のランダムな数値のエントロピーはほぼ同じ。
6,634,204,312,890,625 (95^8) < 10,000,000,000,000,000 (10^16)
Re:abc123 (スコア:1)
クレカの番号には構造があってどんな組み合わせも可能なわけではないと思うが。どこの楽天ISBNだよ。
Re: (スコア:0)
#2237030のACが誰か特定できればそういう返しも有効なんだろうけれど。
Re:abc123 (スコア:1)
16桁のクレカの最後の番号はcheck digitだし、頭六文字は発行会社の識別に使われるようになっている。
http://en.wikipedia.org/wiki/Bank_card_number [wikipedia.org]
だから、「クレカの番号=16桁のランダムの数値」では無い、ってことが言いたいのでは。
そして「16文字のパスワードを入力して下さい」と言われると16文字からクレカを連想して、
その番号を入れるというのは結構ある気がするし、パターンを攻撃者に狙われる可能性は高いよね。
Re: (スコア:0)
数字のみで許してくれる所はすくない
Re: (スコア:0)
自分が攻撃側なら特定の集合を排除していい条件にしか思えない>数字のみ不可
良くある脆弱なパスワードを許可しない場合だと、アタックかける前段階で辞書から、
「英(大小文字混在)、数字、記号が一回も出ないパスワード」を排除出来るよね。
Re: (スコア:0)
だからといって、8文字が最大なのは問題だと思うんだ
ポータルサイトに思ってること - Windows 2000 Blog [livedoor.jp]
【ハンゲーム】ログインパスワード強化・仕様変更のお知らせ [hangame.co.jp]
こっちのサイトは 何年間4~8文字だったんだろう・ω・
これからはクラウドの時代 (スコア:0)
AmazonEC2を使えば、10文字のパスワードは$2,300以下で破れるそうです。
これからはクラウドの時代、なんでもカネ次第ですね。