アカウント名:
パスワード:
一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。それなら辞書攻撃で現実的に破られるラインだ。かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。
Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。
てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?
連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。
それじゃあ危険だなあ。
ちなみに、
>それなら辞書攻撃で現実的に破られるラインだ。
この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。
Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。攻撃者は仕様の穴を突いてくる。
パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。制限に抜け穴があれば容易に突破されるということを意味するからだ。
そして完全なシステムは存在しない。
その昔、原始的な Web システムは無制限にログインの試行を許し
妄想すごいね。
一つのアカウントに対して攻撃をする場合に、複数のIPアドレスから攻撃すればロックされないってか。ちょっとは事実に基づく話をしなよ。
それに、パスワードの強弱について全然程度問題を語っていないから、何が言いたいのかさっぱりわからない。ただ単に、文字数が多い方が安全性が高いってだけの話なら誰でも知ってる。実際に知りたいのは、いくつなら十分かってこと。5文字なら安全?7文字なら安全?9文字なら安全?
あなたの妄想世界のbotnetは、100文字のパスワードだって突破するんじゃないの?
妄想に逃げ込んで、本来の安全性の問題から目をそらそうとすることこそがまさに本末転倒だよ。
> 一つのアカウントに対して攻撃をする場合に、複数のIPアドレスから攻撃すればロックされないってか。
うん、とんでもない妄想。むしろ、そんな状況が発生したら、ひとまずアカウントをロックするほうが自然。どうして「複数のIPアドレスから攻撃すればロックを免れることができる」なんて、馬鹿なことを思いつくのやら。まさか、そういう設計をしているSIerさんだったりしたら、嫌だなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
弱いパスワード (スコア:2)
一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。
それなら辞書攻撃で現実的に破られるラインだ。
かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。
Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。
Re: (スコア:1, 参考になる)
てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?
連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。
それじゃあ危険だなあ。
ちなみに、
>それなら辞書攻撃で現実的に破られるラインだ。
この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?
それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。
Re: (スコア:2)
Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。
攻撃者は仕様の穴を突いてくる。
パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。
十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。
試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。
制限に抜け穴があれば容易に突破されるということを意味するからだ。
そして完全なシステムは存在しない。
その昔、原始的な Web システムは無制限にログインの試行を許し
Re: (スコア:-1)
妄想すごいね。
一つのアカウントに対して攻撃をする場合に、複数のIPアドレスから攻撃すればロックされないってか。
ちょっとは事実に基づく話をしなよ。
それに、パスワードの強弱について全然程度問題を語っていないから、何が言いたいのかさっぱりわからない。
ただ単に、文字数が多い方が安全性が高いってだけの話なら誰でも知ってる。
実際に知りたいのは、いくつなら十分かってこと。5文字なら安全?7文字なら安全?9文字なら安全?
あなたの妄想世界のbotnetは、100文字のパスワードだって突破するんじゃないの?
妄想に逃げ込んで、本来の安全性の問題から目をそらそうとすることこそがまさに本末転倒だよ。
Re:弱いパスワード (スコア:0)
> 一つのアカウントに対して攻撃をする場合に、複数のIPアドレスから攻撃すればロックされないってか。
うん、とんでもない妄想。むしろ、そんな状況が発生したら、ひとまずアカウントをロックするほうが自然。どうして「複数のIPアドレスから攻撃すればロックを免れることができる」なんて、馬鹿なことを思いつくのやら。まさか、そういう設計をしているSIerさんだったりしたら、嫌だなぁ