アカウント名:
パスワード:
残るはユーザーが各自設定してるマスターパスワード1つだけで攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。
自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。(まあそこだからこそ頑張って複雑にしろって話だとは思うけど)
マスターパスワードを強固にしておくのは前提中の前提なので・・・・いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね頑張れば意外と覚えられるし入力もできるものですよ無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね頑張れば意外と覚えられるし入力もできるものですよ
なぜ暗記を推奨する習わしを復活させたがるのだろうか鍵ファイルなり指紋認証なりワンタイムな他要素認証なり属人スキルに頼らない仕組みをすすめてあげようよ
それなりの知能の持ち主だと暗記が一番楽なもんで。
各サイトの強固なパスワードを暗記しなくていいようにするためのソフトのパスワードを強固にして暗記しましょうとか自称頭の良いという馬鹿だということがよく分かる回答だなぁ
#4385799です。強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、> 鍵ファイルなり指紋認証なりワンタイムな他要素認証なりで対象にしているものと異なるからですね。
加えて言うならそれが一番シンプルで、一番簡単だからです。ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。パスワードの強度計算は高校生でもできます。
1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認
馬鹿は鍵ファイルをなくすし、指紋認証は別の危険があるからなぁ。馬鹿は忘れるに戻っちゃうんだけど、なんだかんだ他人に見られない記憶が有効なんだよね。覚えないといえけないのは一つだけなんで頑張って覚えろとしかいようがない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
要するに (スコア:0)
残るはユーザーが各自設定してるマスターパスワード1つだけで
攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。
自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。
だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。
(まあそこだからこそ頑張って複雑にしろって話だとは思うけど)
Re: (スコア:0)
マスターパスワードを強固にしておくのは前提中の前提なので・・・・
いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです
Re:要するに (スコア:1)
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
なぜ暗記を推奨する習わしを復活させたがるのだろうか
鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
属人スキルに頼らない仕組みをすすめてあげようよ
Re: (スコア:0)
それなりの知能の持ち主だと暗記が一番楽なもんで。
Re: (スコア:0)
それなりの知能の持ち主だと暗記が一番楽なもんで。
各サイトの強固なパスワードを暗記しなくていいようにするためのソフトのパスワードを強固にして暗記しましょうとか
自称頭の良いという馬鹿だということがよく分かる回答だなぁ
Re: (スコア:0)
#4385799です。
強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、
> 鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
で対象にしているものと異なるからですね。
加えて言うならそれが一番シンプルで、一番簡単だからです。
ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。
パスワードの強度計算は高校生でもできます。
1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認
Re: (スコア:0)
馬鹿は鍵ファイルをなくすし、指紋認証は別の危険があるからなぁ。
馬鹿は忘れるに戻っちゃうんだけど、なんだかんだ他人に見られない記憶が有効なんだよね。
覚えないといえけないのは一つだけなんで頑張って覚えろとしかいようがない。