アカウント名:
パスワード:
辞書アタックだけを避けるならアナグラム化すればいいんじゃないすかね。アナグラム化したということと元の単語を覚えておけば、忘れても自分で類推できると思うけどダメ?アナグラムをした上に記号や数字を割り入れるか置き換える化すれば、辞書からはどんどん離れていってパスワードハックに対する強度は上がるし。
たとえばbluebird -> dbiulreb -> d6i?lre6
#前にいた会社では初期パスワードの発行時にこれと似たようなことをしてた。
そのようにして作ったパスワードを、複数サイトで使い回ししてたら、あっさりハックされましたとさ。全サイトで別々にそうして作ったパス覚えるとかホント勘弁して欲しい。
どうやってハクられたのでしょうか、監視カメラで動画を取られたとかキーロガーかな。パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。生体認証とか併せて低コストで強度が高いのってある?
> パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。
それIDで書いちゃって大丈夫?
これで何か特定される?
恐らくは意識されているので問題ないと思いますが、「nemui4さん」のメールアドレスが公開されているなら、アドレスをIDとして使っているサイトを跨ってハクられたりとか。
そうですね、その前提&キーとなるアナグラム前の単語郡がバレるとハックされるかもね。そしてプラスアルファの数字と記号は総当りする。#できるかな?
アナグラムの手法の方は良いと思うんです。
パスワードを使い回しされている発言と、それを個人として発言されているのが合わさると危ないかなと。「nemui4さんはパスワードを使い回ししている」「nemui4さんの使っているIDが推測できる」この二つの情報があると、nemui4さんが利用しているサービスの中の人は、自分のサービスで握っているnemui4さんのパスワードを持って、nemui4さんが使っていそうなサービスにチャレンジできる、という懸念で書きました。もちろん、実際のところは簡単に生パスワードを握れたりIDを推測できたりしないので、ここまで単純な話では無いですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
アナグラム化や文字置き換え (スコア:1)
辞書アタックだけを避けるならアナグラム化すればいいんじゃないすかね。
アナグラム化したということと元の単語を覚えておけば、忘れても自分で類推できると思うけどダメ?
アナグラムをした上に記号や数字を割り入れるか置き換える化すれば、辞書からはどんどん離れていってパスワードハックに対する強度は上がるし。
たとえば
bluebird -> dbiulreb -> d6i?lre6
#前にいた会社では初期パスワードの発行時にこれと似たようなことをしてた。
Re: (スコア:2)
そのようにして作ったパスワードを、複数サイトで使い回ししてたら、あっさりハックされましたとさ。
全サイトで別々にそうして作ったパス覚えるとかホント勘弁して欲しい。
Re: (スコア:1)
どうやってハクられたのでしょうか、監視カメラで動画を取られたとかキーロガーかな。
パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。
生体認証とか併せて低コストで強度が高いのってある?
Re: (スコア:0)
> パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。
それIDで書いちゃって大丈夫?
Re: (スコア:2)
これで何か特定される?
Re:アナグラム化や文字置き換え (スコア:0)
恐らくは意識されているので問題ないと思いますが、
「nemui4さん」のメールアドレスが公開されているなら、アドレスをIDとして使っているサイトを跨ってハクられたりとか。
Re:アナグラム化や文字置き換え (スコア:1)
そうですね、その前提&キーとなるアナグラム前の単語郡がバレるとハックされるかもね。
そしてプラスアルファの数字と記号は総当りする。
#できるかな?
Re: (スコア:0)
アナグラムの手法の方は良いと思うんです。
パスワードを使い回しされている発言と、それを個人として発言されているのが合わさると危ないかなと。
「nemui4さんはパスワードを使い回ししている」
「nemui4さんの使っているIDが推測できる」
この二つの情報があると、nemui4さんが利用しているサービスの中の人は、自分のサービスで握っているnemui4さんのパスワードを持って、nemui4さんが使っていそうなサービスにチャレンジできる、という懸念で書きました。
もちろん、実際のところは簡単に生パスワードを握れたりIDを推測できたりしないので、ここまで単純な話では無いですが。