However, for some reason, password generation is animated: (中略) This animation takes more than 1 second, so it is not possible to click several times on the “Generate” button within a second. That is definitely why the weakness had not been discovered before.
これは… (スコア:4, 興味深い)
リンク先 Donjon [ledger.com]
However, for some reason, password generation is animated: (中略)
This animation takes more than 1 second, so it is not possible to click several times on the “Generate” button within a second. That is definitely why the weakness had not been discovered before.
(拙訳)しかしどういうわけか、パスワードの生成はアニメーションされる。このアニメーションは1秒以上かかるので、「生成」ボタンを同じ秒内にクリックすることはできない。それでこの脆弱性が今まで発見されなかったのだろう。
-
完全に邪推だけど、開発者は1秒内に連続生成すると同じパ
Re: (スコア:0)
そもそも、だけど。
各記事をみると、どうもパスワードを生成するたびに乱数のseedを再設定しているみたいだけど、そういうやり方が普通なの?
起動時に一度だけseedを設定、ってしていればこの大問題は避けられたと思うんだけど。
パスワード程度の長さならいくつかのパスワードが漏れたぐらいじゃseedの推定は困難だろうし。
Re:これは… (スコア:0)
mt19937は624個(19937ビット)の連続した過去の出力履歴があれば、次に出現する値を完全に予測できる。確かにパスワード数個程度ではないけどそれでも暗号論的乱数として使ってはいけない。
内部状態は19937ビットあるけど、毎回シードを設定しているとそのうち32ビットしかランダムにならないのでそういうことをしてはならないのはそのとおり