アカウント名:
パスワード:
GPUが速くても総当たり以外の方法はアルゴリズムが複雑になったり、メモリのIOやCPUの処理が必要で足を引っ張られたりと速度がガタ落ちてしまうんです。リンク先はWindowsのパスワードが6時間で破られると煽っていますが、原文まで見てみると8文字の話のようです。1文字加えるだけで総当たり攻撃の解析時間は95倍ですから、12文字なら5万年以上になりますし。ソースコードが公開されたからと言って、10倍20倍の高速化はできないはず、ハードウエアの問題ですから。仮に100倍速いコードができても、1文字増やしたらいいんですよ、GPUを恐れることはないんです。
いやいや、シングルPCのマルチGPUならば、その程度の対策で十分ですが、PCクラスタのマルチGPUとなると話は別でしょう。パスワードの文字数を増やしても、ハッシュ衝突までは防げませんから、ハッシュ関数によって限界があるはずです。
クラスタ、組みますか。100台用意して1文字分、1万台で2文字分、GPUも速度出そうと思ったらウン10万ですよ。そいつらも今使ってるパスワードの後ろに &you って付けただけのパスワードが破れないんじゃないかと思いますですよ。GPUは持ち上げられすぎですよ。他の方法でも破れる迂闊なパスワードが速く破れるだけで、ちゃんと長さを確保してるパスワードには手が届いていないし、これからも届かないんです。
AWS等のクラウドコンピューティングサービスにも最近はGPUつきの仮想サーバがあるから、それを使えばもっと安上がりに実現するかも知れません。
パスワード破ろうと考えているような輩なら、Botネットを飼ってても不思議はないですよ。
ボットにされちゃったPCたちって、PCが何台も買えちゃうような高級GPUを何枚も積んでます?ゲームの世界から戻ってこれなくなった人たちのなら別ですが。それをフルパワーで回さないといけないわけですよ。何万台も。さすがに使っている人も気づくでしょ?凄い熱だ、凄い電気代だって。そうまでして破りたいパスワードなんですか?そのボットネットあったら、他にもこっそりお金を儲ける方法、いくらでもありますよ。
問題はハードウェアの高速化はまだまだ行われるが、人間が覚えていられるパスワードの桁数は増えないという事なのだ。。。
人間の記憶を当てにしているシステムはいずれ崩壊する。# ハードウェアトークンが一般的になって欲しい。USBとかBluetoothで使えるようなの。
ハードウェアの高速化とパスワードの桁数、先に音を上げるのは高速化の方だと思うけどね。
パスワード桁数は増えていないのでは?
好きな曲の歌詞なんかを覚えていられる人は多いですから、変換規則さえ覚えていられるなら桁数の限界はあまり気にしなくていいかもしれないですよ。
まあでも、カラオケで熱唱できる曲が1つくらいあるでしょう?あれでいいんです。あとは単語の間に&とか$とか、好きな記号を入れてください。別に全部同じ記号でもいいんですよ。単語4,5個分でもう十分強度があると思いますけど、不安ならサビのフレーズ分くらいにしておいてくれれば、世界最速のGPUで総当たり攻撃してもまあ無理じゃないかなあ?
# ハードウェアトークンが一般的になって欲しい。USBとかBluetoothで使えるようなの。
おれも。よく使うパスワードは不本意ながら自然に覚えてしまうけど、現状の微妙な安全性のパスワード地獄は不毛で嫌だわ。
8桁の文字列を2回書いて16桁にするだけで格段に強度あがる気がするんですがどうでしょう?
ついにパスワードにも「漢字」を使う時代が来たようですね。
予測変換で筒抜けですね。
漢字変換ができなかったり貧弱だったりする環境で困る予感・・・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
とりあえず文字増やせば? (スコア:3, 興味深い)
GPUが速くても総当たり以外の方法はアルゴリズムが複雑になったり、メモリのIOやCPUの処理が必要で足を引っ張られたりと速度がガタ落ちてしまうんです。リンク先はWindowsのパスワードが6時間で破られると煽っていますが、原文まで見てみると8文字の話のようです。1文字加えるだけで総当たり攻撃の解析時間は95倍ですから、12文字なら5万年以上になりますし。ソースコードが公開されたからと言って、10倍20倍の高速化はできないはず、ハードウエアの問題ですから。仮に100倍速いコードができても、1文字増やしたらいいんですよ、GPUを恐れることはないんです。
Re: (スコア:0)
いやいや、シングルPCのマルチGPUならば、その程度の対策で十分ですが、PCクラスタのマルチGPUとなると話は別でしょう。
パスワードの文字数を増やしても、ハッシュ衝突までは防げませんから、ハッシュ関数によって限界があるはずです。
Re:とりあえず文字増やせば? (スコア:1)
クラスタ、組みますか。100台用意して1文字分、1万台で2文字分、GPUも速度出そうと思ったらウン10万ですよ。そいつらも今使ってるパスワードの後ろに &you って付けただけのパスワードが破れないんじゃないかと思いますですよ。GPUは持ち上げられすぎですよ。他の方法でも破れる迂闊なパスワードが速く破れるだけで、ちゃんと長さを確保してるパスワードには手が届いていないし、これからも届かないんです。
Re: (スコア:0)
AWS等のクラウドコンピューティングサービスにも最近はGPUつきの仮想サーバがあるから、それを使えばもっと安上がりに実現するかも知れません。
Re: (スコア:0)
パスワード破ろうと考えているような輩なら、Botネットを飼ってても不思議はないですよ。
Re: (スコア:0)
ボットにされちゃったPCたちって、PCが何台も買えちゃうような高級GPUを何枚も積んでます?ゲームの世界から戻ってこれなくなった人たちのなら別ですが。それをフルパワーで回さないといけないわけですよ。何万台も。さすがに使っている人も気づくでしょ?凄い熱だ、凄い電気代だって。そうまでして破りたいパスワードなんですか?そのボットネットあったら、他にもこっそりお金を儲ける方法、いくらでもありますよ。
Re: (スコア:0)
問題はハードウェアの高速化はまだまだ行われるが、人間が覚えていられるパスワードの桁数は増えないという事なのだ。。。
人間の記憶を当てにしているシステムはいずれ崩壊する。
# ハードウェアトークンが一般的になって欲しい。USBとかBluetoothで使えるようなの。
Re: (スコア:0)
ハードウェアの高速化とパスワードの桁数、先に音を上げるのは高速化の方だと思うけどね。
Re: (スコア:0)
パスワード桁数は増えていないのでは?
Re: (スコア:0)
好きな曲の歌詞なんかを覚えていられる人は多いですから、変換規則さえ覚えていられるなら桁数の限界はあまり気にしなくていいかもしれないですよ。
Re: (スコア:0)
まあでも、カラオケで熱唱できる曲が1つくらいあるでしょう?あれでいいんです。あとは単語の間に&とか$とか、好きな記号を入れてください。別に全部同じ記号でもいいんですよ。単語4,5個分でもう十分強度があると思いますけど、不安ならサビのフレーズ分くらいにしておいてくれれば、世界最速のGPUで総当たり攻撃してもまあ無理じゃないかなあ?
Re: (スコア:0)
# ハードウェアトークンが一般的になって欲しい。USBとかBluetoothで使えるようなの。
おれも。
よく使うパスワードは不本意ながら自然に覚えてしまうけど、現状の微妙な安全性のパスワード地獄は不毛で嫌だわ。
Re: (スコア:0)
8桁の文字列を2回書いて16桁にするだけで格段に強度あがる気がするんですがどうでしょう?
Re: (スコア:0)
ついにパスワードにも「漢字」を使う時代が来たようですね。
Re:とりあえず文字増やせば? (スコア:1)
予測変換で筒抜けですね。
Re: (スコア:0)
漢字変換ができなかったり貧弱だったりする環境で困る予感・・・・・