アカウント名:
パスワード:
残るはユーザーが各自設定してるマスターパスワード1つだけで攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。
自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。(まあそこだからこそ頑張って複雑にしろって話だとは思うけど)
マスターパスワードを強固にしておくのは前提中の前提なので・・・・いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね頑張れば意外と覚えられるし入力もできるものですよ無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね頑張れば意外と覚えられるし入力もできるものですよ
なぜ暗記を推奨する習わしを復活させたがるのだろうか鍵ファイルなり指紋認証なりワンタイムな他要素認証なり属人スキルに頼らない仕組みをすすめてあげようよ
それなりの知能の持ち主だと暗記が一番楽なもんで。
各サイトの強固なパスワードを暗記しなくていいようにするためのソフトのパスワードを強固にして暗記しましょうとか自称頭の良いという馬鹿だということがよく分かる回答だなぁ
#4385799です。強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、> 鍵ファイルなり指紋認証なりワンタイムな他要素認証なりで対象にしているものと異なるからですね。
加えて言うならそれが一番シンプルで、一番簡単だからです。ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。パスワードの強度計算は高校生でもできます。
1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認
馬鹿は鍵ファイルをなくすし、指紋認証は別の危険があるからなぁ。馬鹿は忘れるに戻っちゃうんだけど、なんだかんだ他人に見られない記憶が有効なんだよね。覚えないといえけないのは一つだけなんで頑張って覚えろとしかいようがない。
パスワードを覚えたくないから使うのに不便だな
まあ攻撃者も暇ではないのでユーザ一人一人に辞書攻撃するより分かりやすいパスで開けるユーザデータを探すんじゃないかな
あとは緩いセキュリティの金融機関アカウント持ってるユーザデータとかを集中的に攻めるとか
手打ちするパスワードは pwmake 64 (リスク低) か pwmake 80 (リスク高) で作ってるな128/256bit みたいなガチ勢ではないけど、現実的には十分すぎるほど安全(計算速度が異様に進歩しない限り)こんな感じのパスワードを作ってくれるpwmake 64: .yBEb8@hegLoNKpwmake 80: bYJ0nvYxp@n!eM6eN
作った日に百回くらいタイプして、その後一週間くらい毎日手打ちを継続すれば、まあ覚えられる
自分ルールのハッシュ値計算表を一個覚えりゃいいのに毎度100回タイプして覚えるとかすげぇ非効率なことやってんな
具体的にどうすんの?毎度っていっても覚えてるパスワードなんて一個か二個だろ
具体的にって……適当にルール決めるだけだぞ?利用サービス名でもキーにして各文字に対して、leet等する、文字位置を入れ替える、n文字シフト、大文字にする小文字にする、ローマ字打ちとかな打ちを参考に文字置換、etc頭ん中でもこれくらいなら余裕だろ?
最悪どれか一個漏れてもルールが分からない程度に複雑化するだけ
> 毎度っていっても覚えてるパスワードなんて一個か二個だろパスワード使いまわしてるから1個か2個という意図なら終わってるオンラインサービス等をそもそも1個か2個しか使ってないならまあ100回打って覚えるのもありかも知れんが……
パスワードマネージャのトピックでなんで使い回しの話になるの
> パスワードマネージャのトピックでなんで使い回しの話になるの
>> そこに複雑なの覚えてらんない。という話がまずあり、
>> 手打ちするパスワードの話になってるからだからだろうね
#4385976も言ってる通り、OSやディスク暗号、マネージャのマスタパスワードetcで余裕で手打ちが2個をオーバー
1個のパスワードを100回打って覚えるという非効率なことしてる人だよ?余談として手打ちパスワードとやらをマスタパスワード他でも使いまわしてると疑ってなんの問題が?
マスターパスワードの話してるところへのレスなんだから、当然その種のパスワードの話なんだが。PCのログインパスワード、ディスク暗号化、パスワードマネージャー、そのあたり。これらはローカルといえど、それでもあんまり使いまわしたくないからパスワードはなるべく分けてるけど、それでも覚えてるのは数個。
ウェブサービスのパスワードは自動生成&自動入力に完全に任せるのが基本で、変な覚え方で頑張るべきじゃないよ。人の目だとフィッシングに引っかかるかもしれないし。
> 変な覚え方で頑張るべきじゃないよ。パスワードを最初に100回打ってその後一週間くらい毎日手打ちを継続するのが変な覚え方だとは思わないのね
ウェブサービスのパスワードにそれしてたら、もちろん変な覚え方だよ。
せいぜい数個のマスターパスワード等なら、どんな覚え方してもいいんじゃない?俺はその自己流生成方式が特に効率的には見えないけど、人には好みがあるだろう
> ウェブサービスのパスワードにそれしてたら、もちろん変な覚え方だよ。
一個か二個が、数個になり変な覚え方で頑張るべきじゃないが、この場合はどんな覚え方してもいいになりご都合のよろしいこって
俺、文庫一冊くらい覚えるのは簡単なんだが、忘れるのも簡単なんだよな。ひと月ぐらい使わないと大体忘れる。
語呂による暗記術を使えばすぐだよ。受験生時代とか、年寄りなら口頭で電話番号を聞いて覚えるとかやったろ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
要するに (スコア:0)
残るはユーザーが各自設定してるマスターパスワード1つだけで
攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。
自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。
だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。
(まあそこだからこそ頑張って複雑にしろって話だとは思うけど)
Re: (スコア:0)
マスターパスワードを強固にしておくのは前提中の前提なので・・・・
いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです
Re:要するに (スコア:1)
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
なぜ暗記を推奨する習わしを復活させたがるのだろうか
鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
属人スキルに頼らない仕組みをすすめてあげようよ
Re: (スコア:0)
それなりの知能の持ち主だと暗記が一番楽なもんで。
Re: (スコア:0)
それなりの知能の持ち主だと暗記が一番楽なもんで。
各サイトの強固なパスワードを暗記しなくていいようにするためのソフトのパスワードを強固にして暗記しましょうとか
自称頭の良いという馬鹿だということがよく分かる回答だなぁ
Re: (スコア:0)
#4385799です。
強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、
> 鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
で対象にしているものと異なるからですね。
加えて言うならそれが一番シンプルで、一番簡単だからです。
ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。
パスワードの強度計算は高校生でもできます。
1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認
Re: (スコア:0)
馬鹿は鍵ファイルをなくすし、指紋認証は別の危険があるからなぁ。
馬鹿は忘れるに戻っちゃうんだけど、なんだかんだ他人に見られない記憶が有効なんだよね。
覚えないといえけないのは一つだけなんで頑張って覚えろとしかいようがない。
Re: (スコア:0)
パスワードを覚えたくないから使うのに不便だな
Re: (スコア:0)
まあ攻撃者も暇ではないのでユーザ一人一人に辞書攻撃するより
分かりやすいパスで開けるユーザデータを探すんじゃないかな
あとは緩いセキュリティの金融機関アカウント持ってるユーザデータとかを集中的に攻めるとか
Re: (スコア:0)
手打ちするパスワードは pwmake 64 (リスク低) か pwmake 80 (リスク高) で作ってるな
128/256bit みたいなガチ勢ではないけど、現実的には十分すぎるほど安全(計算速度が異様に進歩しない限り)
こんな感じのパスワードを作ってくれる
pwmake 64: .yBEb8@hegLoNK
pwmake 80: bYJ0nvYxp@n!eM6eN
作った日に百回くらいタイプして、その後一週間くらい毎日手打ちを継続すれば、まあ覚えられる
Re: (スコア:0)
自分ルールのハッシュ値計算表を一個覚えりゃいいのに
毎度100回タイプして覚えるとかすげぇ非効率なことやってんな
Re: (スコア:0)
具体的にどうすんの?
毎度っていっても覚えてるパスワードなんて一個か二個だろ
Re: (スコア:0)
具体的にって……適当にルール決めるだけだぞ?
利用サービス名でもキーにして各文字に対して、leet等する、文字位置を入れ替える、n文字シフト、大文字にする小文字にする、ローマ字打ちとかな打ちを参考に文字置換、etc
頭ん中でもこれくらいなら余裕だろ?
最悪どれか一個漏れてもルールが分からない程度に複雑化するだけ
> 毎度っていっても覚えてるパスワードなんて一個か二個だろ
パスワード使いまわしてるから1個か2個という意図なら終わってる
オンラインサービス等をそもそも1個か2個しか使ってないならまあ100回打って覚えるのもありかも知れんが……
Re: (スコア:0)
パスワードマネージャのトピックでなんで使い回しの話になるの
Re: (スコア:0)
> パスワードマネージャのトピックでなんで使い回しの話になるの
>> そこに複雑なの覚えてらんない。
という話がまずあり、
>> 手打ちするパスワード
の話になってるからだからだろうね
#4385976も言ってる通り、OSやディスク暗号、マネージャのマスタパスワードetcで余裕で手打ちが2個をオーバー
1個のパスワードを100回打って覚えるという非効率なことしてる人だよ?
余談として手打ちパスワードとやらをマスタパスワード他でも使いまわしてると疑ってなんの問題が?
Re: (スコア:0)
マスターパスワードの話してるところへのレスなんだから、当然その種のパスワードの話なんだが。
PCのログインパスワード、ディスク暗号化、パスワードマネージャー、そのあたり。
これらはローカルといえど、それでもあんまり使いまわしたくないからパスワードはなるべく分けてるけど、それでも覚えてるのは数個。
ウェブサービスのパスワードは自動生成&自動入力に完全に任せるのが基本で、変な覚え方で頑張るべきじゃないよ。
人の目だとフィッシングに引っかかるかもしれないし。
Re:要するに (スコア:1)
> 変な覚え方で頑張るべきじゃないよ。
パスワードを最初に100回打ってその後一週間くらい毎日手打ちを継続するのが変な覚え方だとは思わないのね
Re: (スコア:0)
ウェブサービスのパスワードにそれしてたら、もちろん変な覚え方だよ。
せいぜい数個のマスターパスワード等なら、どんな覚え方してもいいんじゃない?
俺はその自己流生成方式が特に効率的には見えないけど、人には好みがあるだろう
Re: (スコア:0)
> ウェブサービスのパスワードにそれしてたら、もちろん変な覚え方だよ。
一個か二個が、数個になり
変な覚え方で頑張るべきじゃないが、この場合はどんな覚え方してもいいになり
ご都合のよろしいこって
Re: (スコア:0)
俺、文庫一冊くらい覚えるのは簡単なんだが、忘れるのも簡単なんだよな。ひと月ぐらい使わないと大体忘れる。
Re: (スコア:0)
語呂による暗記術を使えばすぐだよ。受験生時代とか、年寄りなら口頭で電話番号を聞いて覚えるとかやったろ。