アカウント名:
パスワード:
この例で言えば英単語を全てぶち込んである辞書でクラックできそうだけどなあ単語の先頭が大文字なことやクエスチョンマークは辞書攻撃ツールがデフォルトでやってくれそうだ
英単語を全てぶち込んであっても、単語数が多くなると候補単語^単語数に組み合わせが増えるのでクラックできなくなります。でも3単語かつ文章として意味のある英文だと瞬殺なんですけどね。まあ巷の研修というのが如何にいい加減かという……
例えば"1234 2345 0000 5432 4321"だと名目上はパターンが10^20通りあるでしょう。ちゃんとランダムに選べば英数記号8桁(256^8, 10^19通り)より複雑だし、その数字を英単語に置換しても問題ないわけです。ちゃんとランダムに4つ以上並べれば。既知じゃなければ。
そんなん頻度の高い単語を優先的に探索すればええやん。文字単位で総当りするときも数字のみとか英小文字のみを優先的に探索することがあって、だからこそいろいろな文字種を混ぜるべきだとされてるんでしょ。canもyouもcelebrateも7000語程度の辞書にも載っていそうなありふれた単語だから、実質ランダムなASCII文字にして1語あたり2文字分程度、計6文字分程度の強度しかない。したがって1.のほうが圧倒的に強い。覚えにくいのは事実だが、パスフレーズにするなら3語の組み合わせでは話にならない。
そう、だからスクリプトを組んでランダムな4単語以上を選ばないとダメなんですよね。そこが分かっていないと、2)が正解ですなんていう研修をやってしまうわけ……
英文だという前提はいいんかよってのが気になるよなこういう計算
単語間の繋がり確率をデータベースで持ってるんだから、人間が覚えやすい文章になってるのはもうダメなんだよ。
辞書攻撃どころか超有名なアーティストの代表作の冒頭の歌詞そのままだから、パスワードとしての強度もクソもないわけですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
辞書攻撃 (スコア:0)
この例で言えば英単語を全てぶち込んである辞書でクラックできそうだけどなあ
単語の先頭が大文字なことやクエスチョンマークは辞書攻撃ツールがデフォルトでやってくれそうだ
Re:辞書攻撃 (スコア:2)
英単語を全てぶち込んであっても、単語数が多くなると候補単語^単語数に組み合わせが増えるのでクラックできなくなります。でも3単語かつ文章として意味のある英文だと瞬殺なんですけどね。まあ巷の研修というのが如何にいい加減かという……
例えば"1234 2345 0000 5432 4321"だと名目上はパターンが10^20通りあるでしょう。ちゃんとランダムに選べば英数記号8桁(256^8, 10^19通り)より複雑だし、その数字を英単語に置換しても問題ないわけです。ちゃんとランダムに4つ以上並べれば。既知じゃなければ。
Re: (スコア:0)
そんなん頻度の高い単語を優先的に探索すればええやん。文字単位で総当りするときも数字のみとか英小文字のみを優先的に探索することがあって、だからこそいろいろな文字種を混ぜるべきだとされてるんでしょ。
canもyouもcelebrateも7000語程度の辞書にも載っていそうなありふれた単語だから、実質ランダムなASCII文字にして1語あたり2文字分程度、計6文字分程度の強度しかない。したがって1.のほうが圧倒的に強い。覚えにくいのは事実だが、パスフレーズにするなら3語の組み合わせでは話にならない。
Re:辞書攻撃 (スコア:2)
そう、だからスクリプトを組んでランダムな4単語以上を選ばないとダメなんですよね。そこが分かっていないと、2)が正解ですなんていう研修をやってしまうわけ……
Re: (スコア:0)
英文だという前提はいいんかよってのが気になるよなこういう計算
Re: (スコア:0)
単語間の繋がり確率をデータベースで持ってるんだから、人間が覚えやすい文章になってるのはもうダメなんだよ。
Re: (スコア:0)
辞書攻撃どころか超有名なアーティストの代表作の冒頭の歌詞そのままだから、パスワードとしての強度もクソもないわけですが。