アカウント名:
パスワード:
根拠となる新たなエビデンスが一切ないこと。NISTとかGoogleとか、権威のある組織が言い出しただけで、たくさんの人がそれに乗っかってあたかも事実のように言い出してる。
権威に乗っかってエビデンスを見ないって、セキュリティ専門家としては一番やっちゃダメなやつじゃね?
根拠っていったって、数字だけで言うなら英数記号強制で20桁のパスワードを毎日変更するのが一番安全なのは間違いないんだけど人間それやると絶対サボるからどこで折り合いをつけるかって話だからエビデンスなんか出しようがなくね?
「人間は短くて複雑なパスワードはさぼるけど長いパスワードはさぼらない」っていうエビデンスを出せばいいと思った。
サボっても単純に長い方が耐性が高いからマシって話でしょ
長くても弱いパスワードなんて普通に発生しうると思うが。平易な自然言語のフレーズなら容易に予測可能だろう。
エビデンスなしで主張していいなら、むしろ「長い文字列を要求する」→「覚えるために意味のあるフレーズにしようとする傾向が生じる」っていう流れで、ありふれた文章をパスワードにしてしまうシナリオがすぐに思いつくんだけど。
だからそれでも短いのよりマシ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
この議論の違和感 (スコア:2, すばらしい洞察)
根拠となる新たなエビデンスが一切ないこと。
NISTとかGoogleとか、権威のある組織が言い出しただけで、たくさんの人がそれに乗っかってあたかも事実のように言い出してる。
権威に乗っかってエビデンスを見ないって、セキュリティ専門家としては一番やっちゃダメなやつじゃね?
Re: (スコア:0)
根拠っていったって、数字だけで言うなら英数記号強制で20桁のパスワードを毎日変更するのが一番安全なのは間違いないんだけど
人間それやると絶対サボるからどこで折り合いをつけるかって話だからエビデンスなんか出しようがなくね?
Re: (スコア:0)
「人間は短くて複雑なパスワードはさぼるけど長いパスワードはさぼらない」っていうエビデンスを出せばいいと思った。
Re: (スコア:0)
サボっても単純に長い方が耐性が高いからマシって話でしょ
Re: (スコア:0)
長くても弱いパスワードなんて普通に発生しうると思うが。平易な自然言語のフレーズなら容易に予測可能だろう。
エビデンスなしで主張していいなら、むしろ「長い文字列を要求する」→「覚えるために意味のあるフレーズにしようとする傾向が生じる」っていう流れで、
ありふれた文章をパスワードにしてしまうシナリオがすぐに思いつくんだけど。
Re:この議論の違和感 (スコア:0)
だからそれでも短いのよりマシ