アカウント名:
パスワード:
なにを強いとするか、なにを弱いとするか、仕様次第でしょう。
しようと言ってしまえばそれまでなんですが実用性にかける仕様って意味があるんでしょうか。私の場合そんなことを気にする時期は過ぎました。
文字数文字種だけで強度を判定する仕様でも実用性あると思うけどなぁ。手入力が前提で、不規則だけど(それ故に)あまり長くしたくないパスワードを作るときなんか凄い役に立つよ。
だろうとなんだろうと、よくあるクラック辞書ですぐ破られるのは、強度があるとは言えないから、やっぱ問題手入力が不規則っていう幻想は持つのはやめたほうがいい
# Abc!23がなんだって?
説明不足だったようで申し訳ない。「不規則」というのはパスワードジェネレータで生成されたような文字列のことですね。例えば今自分がツールで生成した「i>8q[Dptlj7lk6q[diw8@dvF」みたいなやつ。まあ手入力前提の環境だとこう不規則で長いのはキツいので、こういう感じだけどもっと短いのを使うわけなんですが、それが自分の望むパスワード強度になっているかどうかをチェックするのには、文字数文字種だけで強度を判定する仕様でも十分じゃないかなという話です。
強度ってのは攻撃に対する強度なので、攻撃手法が変われば強度算出の手法も変わります。「文字数文字種だけ」の推定ってのは、概ね総当たり攻撃に対する強度ってことですよね?しかし、「自分の望むパスワード強度」ってそれなのでしょうか?望みは一般的に行われる攻撃に対する強度ではないですか?何をもって「一般的」とするかってのもありますが、少なくとも辞書攻撃を考慮しないのは片手落ちだと思います。
この記事ではtop10,000から選んだとありますが、1万なんて英小文字26種ですら3文字の組み合わせで既に越えます。
辞書攻撃が有効だって分かってるのに辞書使ってパスワード作る方がちょっとどうかしてるんじゃないですかね。判定サイトの辞書に載ってなければ攻撃者の辞書にも載ってないなんて保証も無いんだし、辞書攻撃をそもそも無意味にした方が良いのでは?憶えやすいからって手を抜くからそこに付け込まれちゃうんですよ。
いまさらだけど誤解する書き方でした。「むしろ、ツールを使わず自分で作ったパスワードが実はあるあるだったとかを、辞書を使って検知する方がよっぽど有用に思います。」というつもりでした。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
仕様の問題じゃない? (スコア:2)
なにを強いとするか、なにを弱いとするか、仕様次第でしょう。
Re: (スコア:0)
しようと言ってしまえばそれまでなんですが実用性にかける仕様って意味があるんでしょうか。
私の場合そんなことを気にする時期は過ぎました。
Re: (スコア:2)
文字数文字種だけで強度を判定する仕様でも実用性あると思うけどなぁ。
手入力が前提で、不規則だけど(それ故に)あまり長くしたくないパスワードを作るときなんか凄い役に立つよ。
Re: (スコア:2)
だろうとなんだろうと、よくあるクラック辞書ですぐ破られるのは、強度があるとは言えないから、やっぱ問題
手入力が不規則っていう幻想は持つのはやめたほうがいい
# Abc!23がなんだって?
M-FalconSky (暑いか寒い)
Re:仕様の問題じゃない? (スコア:3)
説明不足だったようで申し訳ない。
「不規則」というのはパスワードジェネレータで生成されたような文字列のことですね。
例えば今自分がツールで生成した「i>8q[Dptlj7lk6q[diw8@dvF」みたいなやつ。
まあ手入力前提の環境だとこう不規則で長いのはキツいので、こういう感じだけどもっと短いのを使うわけなんですが、それが自分の望むパスワード強度になっているかどうかをチェックするのには、文字数文字種だけで強度を判定する仕様でも十分じゃないかなという話です。
Re: (スコア:0)
強度ってのは攻撃に対する強度なので、攻撃手法が変われば強度算出の手法も変わります。
「文字数文字種だけ」の推定ってのは、概ね総当たり攻撃に対する強度ってことですよね?
しかし、「自分の望むパスワード強度」ってそれなのでしょうか?望みは一般的に行われる攻撃に対する強度ではないですか?
何をもって「一般的」とするかってのもありますが、少なくとも辞書攻撃を考慮しないのは片手落ちだと思います。
この記事ではtop10,000から選んだとありますが、1万なんて英小文字26種ですら3文字の組み合わせで既に越えます。
Re:仕様の問題じゃない? (スコア:2)
辞書攻撃が有効だって分かってるのに辞書使ってパスワード作る方がちょっとどうかしてるんじゃないですかね。
判定サイトの辞書に載ってなければ攻撃者の辞書にも載ってないなんて保証も無いんだし、辞書攻撃をそもそも無意味にした方が良いのでは?
憶えやすいからって手を抜くからそこに付け込まれちゃうんですよ。
Re: (スコア:0)
いまさらだけど誤解する書き方でした。
「むしろ、ツールを使わず自分で作ったパスワードが実はあるあるだったとかを、辞書を使って検知する方がよっぽど有用に思います。」
というつもりでした。