アカウント名:
パスワード:
辞書アタックだけを避けるならアナグラム化すればいいんじゃないすかね。アナグラム化したということと元の単語を覚えておけば、忘れても自分で類推できると思うけどダメ?アナグラムをした上に記号や数字を割り入れるか置き換える化すれば、辞書からはどんどん離れていってパスワードハックに対する強度は上がるし。
たとえばbluebird -> dbiulreb -> d6i?lre6
#前にいた会社では初期パスワードの発行時にこれと似たようなことをしてた。
そのようにして作ったパスワードを、複数サイトで使い回ししてたら、あっさりハックされましたとさ。全サイトで別々にそうして作ったパス覚えるとかホント勘弁して欲しい。
どうやってハクられたのでしょうか、監視カメラで動画を取られたとかキーロガーかな。パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。生体認証とか併せて低コストで強度が高いのってある?
「そのうちのどれかが簡単にクラックされれば」この前提があるとなにもかも無意味っぽくなりそう。で、どうしてます or どうすればいい?
「 複数サイトで使い回し」をやめる。
どんなに固いパスワードも、使い回した時点でアウトでしょう。
なるほど。でもすべてのサイトで個別のパスワードを設定して覚えることってできます?
日常良く使うサイトを思いつくまま並べるとAmazon,tsutaya,クロネコ、佐川急便、ゆうびん、銀行、クレカ会社、図書館・・・ぱっと思いついたのだけで30超えてます。実際に使っているパスワードは基本5つで、それに多少変形加えても10は無いくらい。日常良く使うサイトだとまず覚えているけど、ソレ以外たまにしか利用しないすぐに思い出せないサイトのパスワードだと基本のパスワードをどれかを当たるまで入れる。そういうのを含めて全部違うパスワードにするというのは、すっかり記憶力減退している私の頭だと無理ですね。(諦め)やるとしたらメモ帳かパスワードを管理するアプリなりなんなり併用することになるけど、それもなんだか危うい気がしています。
会社にもいるけど、見ててほんと頭いいなと思ってしまっている人たちはたぶん全部変えて使ってるんでしょうね。この先年老いていくとパスワードが思い出せなくて困るシーンが増えそうだ。#パスワード忘れ問い合わせはありがたい。
私の場合は、・全サイト共通、秘密のパスフレーズ・各サイト(サービス)個別の識別子を連結したものをハッシュ化し、それをパスワードにしています。
例えば、パスフレーズがhogehoge、対象サイトが/.jなら、「hogehoge-slashdot.jp」のmd5ハッシュを取ると2a4c83905241482f3579a04266ded3b2になるので、これをBase64エンコードしたKkyDkFJBSC81eaBCZt7Tsg==をパスワードにする、という感じ。
これなら、パスワード管理アプリを使うのと違って、自身の頭の中だけで完結してますし、覚えておかなければないパスフレーズは一つだけで、しかも覚えやすい文字列で全然問題ないですし、あるパスワードが漏れても、そこから別サイトのパスワードが推測される心配はありません。
ただ、「サイト個別の識別子」だけはブレがあると困ったことになるので、それだけは念のためメモってあります。
#そういうパスワード変換生成を行うperlスクリプトを作ってあるんだけど、#それがない所でログインするのは困難というのが最大の問題だったり。
さすがです、ハッシュにエンコードまで・・・それならまず安全だ。#私の頭では絶対に無理 :-(
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
アナグラム化や文字置き換え (スコア:1)
辞書アタックだけを避けるならアナグラム化すればいいんじゃないすかね。
アナグラム化したということと元の単語を覚えておけば、忘れても自分で類推できると思うけどダメ?
アナグラムをした上に記号や数字を割り入れるか置き換える化すれば、辞書からはどんどん離れていってパスワードハックに対する強度は上がるし。
たとえば
bluebird -> dbiulreb -> d6i?lre6
#前にいた会社では初期パスワードの発行時にこれと似たようなことをしてた。
Re: (スコア:2)
そのようにして作ったパスワードを、複数サイトで使い回ししてたら、あっさりハックされましたとさ。
全サイトで別々にそうして作ったパス覚えるとかホント勘弁して欲しい。
Re: (スコア:1)
どうやってハクられたのでしょうか、監視カメラで動画を取られたとかキーロガーかな。
パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。
生体認証とか併せて低コストで強度が高いのってある?
Re: (スコア:0)
Re: (スコア:1)
「そのうちのどれかが簡単にクラックされれば」
この前提があるとなにもかも無意味っぽくなりそう。
で、どうしてます or どうすればいい?
Re: (スコア:1)
「 複数サイトで使い回し」をやめる。
どんなに固いパスワードも、使い回した時点でアウトでしょう。
Re:アナグラム化や文字置き換え (スコア:1)
なるほど。
でもすべてのサイトで個別のパスワードを設定して覚えることってできます?
日常良く使うサイトを思いつくまま並べると
Amazon,tsutaya,クロネコ、佐川急便、ゆうびん、銀行、クレカ会社、図書館・・・
ぱっと思いついたのだけで30超えてます。
実際に使っているパスワードは基本5つで、それに多少変形加えても10は無いくらい。
日常良く使うサイトだとまず覚えているけど、ソレ以外たまにしか利用しないすぐに思い出せないサイトのパスワードだと基本のパスワードをどれかを当たるまで入れる。
そういうのを含めて全部違うパスワードにするというのは、すっかり記憶力減退している私の頭だと無理ですね。(諦め)
やるとしたらメモ帳かパスワードを管理するアプリなりなんなり併用することになるけど、それもなんだか危うい気がしています。
会社にもいるけど、見ててほんと頭いいなと思ってしまっている人たちはたぶん全部変えて使ってるんでしょうね。
この先年老いていくとパスワードが思い出せなくて困るシーンが増えそうだ。
#パスワード忘れ問い合わせはありがたい。
Re:アナグラム化や文字置き換え (スコア:1)
私の場合は、
・全サイト共通、秘密のパスフレーズ
・各サイト(サービス)個別の識別子
を連結したものをハッシュ化し、それをパスワードにしています。
例えば、パスフレーズがhogehoge、対象サイトが/.jなら、
「hogehoge-slashdot.jp」のmd5ハッシュを取ると
2a4c83905241482f3579a04266ded3b2
になるので、これをBase64エンコードした
KkyDkFJBSC81eaBCZt7Tsg==
をパスワードにする、という感じ。
これなら、パスワード管理アプリを使うのと違って、自身の頭の中だけで完結してますし、
覚えておかなければないパスフレーズは一つだけで、しかも覚えやすい文字列で全然問題ないですし、
あるパスワードが漏れても、そこから別サイトのパスワードが推測される心配はありません。
ただ、「サイト個別の識別子」だけはブレがあると困ったことになるので、
それだけは念のためメモってあります。
#そういうパスワード変換生成を行うperlスクリプトを作ってあるんだけど、
#それがない所でログインするのは困難というのが最大の問題だったり。
Re:アナグラム化や文字置き換え (スコア:1)
さすがです、ハッシュにエンコードまで・・・
それならまず安全だ。
#私の頭では絶対に無理 :-(