アカウント名:
パスワード:
パターンA:数字のみパターンB:英数字のみ、'.'や'-'や'_'を含め記号不可パターンC:英数字と記号が使用可パターンD:英字・数字・記号を全種最低一文字含める必要ありパターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要ありパターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)
上記パターンを考慮しながらサイト毎に別々のパスワードを設定するとしても、個々のサイトが上記パターンのどれに該当するかは忘れがち。そしてパターンFのサイトは、パスワードリセットのたびにパスワードがだんだん覚えづらくカオスになっていく……
全サーバー管理者で格闘トーナメントを行ってもらって優勝したサーバー管理者のポリシーに統一しよう
おれはパターンCの管理者に優勝してほしいなんで数字や記号を最低1文字使用しろとか命令されなきゃならんのだ
パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?
(パスワードの文字数)×(英字数字記号の種類の数)のパターンでハッシュを計算し比較するだけなら,ほぼ一瞬で可能かも。
パスワードに自身のユーザーIDを含めるのが禁止なのは当然ですが、(組織内の)他人のユーザーIDを含めるのも禁止されてるのはどうかと思ったことがあります。ユーザーIDが氏名から生成されていると、パスワードに例えば自分の好きな芸能人の名前を使おうとすると引っ掛かる可能性があります。
ただ攻撃者の総当たり用の辞書には主な姓名が含まれているだろうと考えると、当然のポリシーなんでしょう。
パターンFのサイトで64^8回パスワード変更かけようずwwwwww
# パスワードマネージャで自動生成すればハネられた時に禁止文字と字数削るだけだぞ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
パスワードポリシーがサイトにより異なるので困る (スコア:0)
パターンA:数字のみ
パターンB:英数字のみ、'.'や'-'や'_'を含め記号不可
パターンC:英数字と記号が使用可
パターンD:英字・数字・記号を全種最低一文字含める必要あり
パターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要あり
パターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)
上記パターンを考慮しながらサイト毎に別々のパスワードを設定するとしても、個々のサイトが上記パターンのどれに該当するかは忘れがち。
そしてパターンFのサイトは、パスワードリセットのたびにパスワードがだんだん覚えづらくカオスになっていく……
Re:パスワードポリシーがサイトにより異なるので困る (スコア:2)
パターンA:数字のみ
パターンB:英数字のみ、'.'や'-'や'_'を含め記号不可
パターンC:英数字と記号が使用可
パターンD:英字・数字・記号を全種最低一文字含める必要あり
パターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要あり
パターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)
全サーバー管理者で格闘トーナメントを行ってもらって
優勝したサーバー管理者のポリシーに統一しよう
おれはパターンCの管理者に優勝してほしい
なんで数字や記号を最低1文字使用しろとか命令されなきゃならんのだ
Re:パスワードポリシーがサイトにより異なるので困る (スコア:1)
パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?
(パスワードの文字数)×(英字数字記号の種類の数)のパターンでハッシュを計算し比較するだけなら,ほぼ一瞬で可能かも。
Re:パスワードポリシーがサイトにより異なるので困る (スコア:1)
パスワードに自身のユーザーIDを含めるのが禁止なのは当然ですが、(組織内の)他人の
ユーザーIDを含めるのも禁止されてるのはどうかと思ったことがあります。
ユーザーIDが氏名から生成されていると、パスワードに例えば自分の好きな芸能人の
名前を使おうとすると引っ掛かる可能性があります。
ただ攻撃者の総当たり用の辞書には主な姓名が含まれているだろうと考えると、当然のポリシー
なんでしょう。
-- う~ん、バッドノウハウ?
Re: (スコア:0)
パターンFのサイトで64^8回パスワード変更かけようずwwwwww
# パスワードマネージャで自動生成すればハネられた時に禁止文字と字数削るだけだぞ