パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NSAでも破れないが、覚えやすいパスフレーズ」記事へのコメント

  • 換字式でパスワードを作る時代は終わった
    適当なキーワードとパスワードをくっつけてハッシュ化
    これ最強

    • by Anonymous Coward

      例外が多すぎて使い物にならない

      • by Anonymous Coward

        覚えられるのなら、本当に大分強いと思ったんだけど
        使い物にならないという理由をもう少し、詳しく聞かせて。
        例外が多すぎて、とはどういう意味?

        • 私はかれこれ10年ぐらい前からパスワードをハッシュ生成する方法 [srad.jp]を実践していますが、この方法で困るのが、「ハッシュ生成した文字列がパスワードとして使えなかった場合」の対応方法ですね。
          滅多にないんですが、運悪く「アルファベット小文字と数字」なパスワードを生成してしまい、しかもそのパスワードを使いたいシステムが「大文字小文字数字の3種取り混ぜたパスワードじゃないとダメ」なシステムだったりとか。
          (そんなん滅多にないだろ、と言われそうですが、サイト側のパスワード可能文字数に基づいて生成したハッシュを切り出すので、8文字パスワードだとたまにでくわします。まあ、ここ10年間で2サイトほどですが。これは個別例外処理してしまってます。)

          あとは、ハッシュジェネレータをどこで動かすのか、という問題。昔はどこでも*nixなりDOSなりPerlを動かせる環境があったのでPerlスクリプトなハッシュパスワード計算機で問題なかったし、
          Windows Mobile(W-ZERO3)の頃は頑張って自作アプリを作る元気があったんですが…
          Androidなタブレットを使うようになってからは、自宅サーバにhttpsなハッシュパスワード生成CGIを動かしてます。
          まあ、普段はブラウザのパスワードマネージャ任せで、このCGIの出番は滅多にないんですけど、セキュリティ的には弱いよなぁと常々思ってます。

          親コメント
          • by Anonymous Coward

            > パスワードとして使えなかった場合
            サービス名+パスワード要件、をジェネレータの入力にして、
            パスワード要件を満たすまでハッシュをストレッチしてくとか。

            > ハッシュジェネレータをどこで動かすのか
            マイコンでキーボードデバイス作ってそこで実行とかやるとロマンありそうな気がします!

開いた括弧は必ず閉じる -- あるプログラマー

処理中...