アカウント名:
パスワード:
アルファベットの大文字と小文字、更に数字と記号を含めた8文字以上のパスワードなら安全、という古からの安全神話。その安全神話によって思考停止しているので、最小8文字以上としながらも最大パスワード長は20文字以下しか認めないサイトのなんと多いことか・・・。20文字以下どころか、12文字以下しか認めない所の方が大半という体たらく。
パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。10代の若者に「パスワードを複雑化しろ」と要請するよりも、パスワードとして認められる最大長が20文字以下のクソサイトを吊るしあげる方が遥
ハッシュ関数にMD5を使っているならどれだけパスワードを長くしてもランダムな英数字約20文字、SHA1なら約25文字、SHA256なら約40文字より安全には絶対にならない。覚えやすくなるだけ(でも十分だしいずれにしても12文字は少なすぎるが)。パスワードに不可逆なハッシュ化をしていないとか暗号学的な検討のなされていないオレオレハッシュを使うのは別の意味で論外だし。辞書に載っている単語だけを組み合わせるならMD5で約11語、SHA1で約13語、SHA256で約21語の組み合わせ程度でいいけど、これは完全にランダムに単語を選んだ場合なのでパスフレーズジェネレーターでも使わない限りもう少し長くとったほうがよさそう。
オフトピ。
MD5, SHA1って。。。。すでに2007年の時点で ありがとうそしてさようなら [google.com]という認識でいたのですが、今でも大事にされているんですか?そうわりきるしかないという現状を憂えているということですね、きっと。
それにしてはSHA-2(SHA-256)への移行がまだゆるゆる進んでいないみたいだし、そもそも今の若い人(a.k.a. 労害労害いう人)が引退するころにはそれも破られているだろうし。。。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
逆に危険 (スコア:4, すばらしい洞察)
アルファベットの大文字と小文字、更に数字と記号を含めた8文字以上のパスワードなら安全、という古からの安全神話。
その安全神話によって思考停止しているので、最小8文字以上としながらも最大パスワード長は20文字以下しか認めないサイトのなんと多いことか・・・。
20文字以下どころか、12文字以下しか認めない所の方が大半という体たらく。
パスワードは複雑度よりもむしろ長さの方が重要だと、一体何時になったら周知徹底されるのか。
10代の若者に「パスワードを複雑化しろ」と要請するよりも、パスワードとして認められる最大長が20文字以下のクソサイトを吊るしあげる方が遥
Re: (スコア:0, オフトピック)
ハッシュ関数にMD5を使っているならどれだけパスワードを長くしてもランダムな英数字約20文字、SHA1なら約25文字、SHA256なら約40文字より安全には絶対にならない。覚えやすくなるだけ(でも十分だしいずれにしても12文字は少なすぎるが)。パスワードに不可逆なハッシュ化をしていないとか暗号学的な検討のなされていないオレオレハッシュを使うのは別の意味で論外だし。
辞書に載っている単語だけを組み合わせるならMD5で約11語、SHA1で約13語、SHA256で約21語の組み合わせ程度でいいけど、これは完全にランダムに単語を選んだ場合なのでパスフレーズジェネレーターでも使わない限りもう少し長くとったほうがよさそう。
Re:逆に危険 (スコア:1)
オフトピ。
MD5, SHA1って。。。。
すでに2007年の時点で ありがとうそしてさようなら [google.com]
という認識でいたのですが、今でも大事にされているんですか?
そうわりきるしかないという現状を憂えているということですね、きっと。
それにしてはSHA-2(SHA-256)への移行がまだゆるゆる進んでいないみたいだし、
そもそも今の若い人(a.k.a. 労害労害いう人)が引退するころにはそれも破られているだろうし。。。