アカウント名:
パスワード:
単語+数字みたいなアホアホパスワードを仮定して辞書攻撃するとしたら、桁数分かったことで1/8くらいに絞り込めるかもしれないけれど(どんぶり勘定)それでもGPUを8台連結といったお金の力で解決できるレベルたかだかその程度で危険になる強度は、最初から危険
逆に辞書攻撃も推測も成立しない程度に複雑なパスワードを設定できていたとしたら、総当たりでやるしかないが12桁以下の可能性というのは要するに13桁の可能性よりオーダーが1つ下がることになるから、桁数では大して絞り込むことはできない12桁の可能性は13桁の可能性の1/62 つまり1.6%しかないわけだし
https://twitter.com/sen_u/status/1427538088113283072 [twitter.com]
13桁、数字だけなら4分英小文字だけなら1年英大小文字なら1万6000年英大小文字+数字なら10万年英大小文字+数字+記号なら200万年
余談だがパスワードには「必ず数字を入れろ」とか「必ず記号を入れろ」とかウザいので桁数を長くすれば数字や記号を入れなくてもいいルールにしてほしい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
桁数開示は本当に大失態なのか (スコア:1)
単語+数字みたいなアホアホパスワードを仮定して辞書攻撃するとしたら、桁数分かったことで1/8くらいに絞り込めるかもしれないけれど(どんぶり勘定)
それでもGPUを8台連結といったお金の力で解決できるレベル
たかだかその程度で危険になる強度は、最初から危険
逆に辞書攻撃も推測も成立しない程度に複雑なパスワードを設定できていたとしたら、総当たりでやるしかないが
12桁以下の可能性というのは要するに13桁の可能性よりオーダーが1つ下がることになるから、桁数では大して絞り込むことはできない
12桁の可能性は13桁の可能性の1/62 つまり1.6%しかないわけだし
ブルートフォースアタックの場合 (スコア:2)
https://twitter.com/sen_u/status/1427538088113283072 [twitter.com]
13桁、数字だけなら4分
英小文字だけなら1年
英大小文字なら1万6000年
英大小文字+数字なら10万年
英大小文字+数字+記号なら200万年
余談だがパスワードには「必ず数字を入れろ」とか「必ず記号を入れろ」とかウザいので桁数を長くすれば数字や記号を入れなくてもいいルールにしてほしい