アカウント名:
パスワード:
前に何回か「Gmailにメールの内容を広告に利用されないようにする事のみを目的としてPPAPするのって有効なのかな?」って質問のコメントを書いたけど、結局Google DriveでもGmailでもPPAPしても結局中身みられて広告パーソナライズに利用されちゃうのかな?
これが嫌だからパスワード100文字以上にしてDMGで圧縮してDriveに入れてるけど、いつか数十年後に破られるんだろうなってずっと思ってる。いくら暗号化してもその場しのぎだよな。
素人質問で恐縮ですが、例えばAES-256を使ってるとしてそれに対して800ビット(1文字1バイトとして100文字分)のキーを与える意味ってあるの?
パスフレーズとかは文字列のビット数程の情報量はない。ランダムな単語列としたら、語彙数を単語数分掛けた数で考えるべき。ただ語彙の数は攻撃側の辞書によるのでその情報量は評価が出来ない。使った語彙をカバーしつつも語彙が少ない辞書でアタックされると弱い。極端な例だと使っている単語しか入ってない辞書なら瞬殺される。
だからまぁ、パスフレーズを長めに取るのはいいことだよ。マイナーな単語やミススペルが混ざるとなお良し。
要するに大した意味ないんだな
パスフレーズとかは文字列のビット数程の情報量はないとは言うが、それでも総当たり攻撃の対策としては大小英数字で16字もあれば十分そして辞書攻撃の対策で求められるのはその辞書に含まれないことか、または含まれててもそれらの組み合わせから回避できるかどうかであって本質的には長さじゃない
なので、この両方を満たすためにXX万語の辞書から3単語選長さと組み合わせを両立させろって話が出たりする
短いパスワードはダメというのは正しいが、それは長ければいいという話ではないパスフレーズを*長め*に取るのはいいことだとしても、その長めとは十数文字程度の話であって、100文字は意味がないほど長いだけ
16字の根拠は?ちゃんと高校生レベルの対数計算した?文脈的に鍵導出関数を信用しない場合だよね?16文字のエントロピー計算してみな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
パスワードつきzipの中身も広告に利用される? (スコア:0)
前に何回か「Gmailにメールの内容を広告に利用されないようにする事のみを目的としてPPAPするのって有効なのかな?」って質問のコメントを書いたけど、結局Google DriveでもGmailでもPPAPしても結局中身みられて広告パーソナライズに利用されちゃうのかな?
Re: (スコア:0)
これが嫌だからパスワード100文字以上にしてDMGで圧縮してDriveに入れてるけど、いつか数十年後に破られるんだろうなってずっと思ってる。
いくら暗号化してもその場しのぎだよな。
Re: (スコア:0)
素人質問で恐縮ですが、例えばAES-256を使ってるとしてそれに対して800ビット(1文字1バイトとして100文字分)のキーを与える意味ってあるの?
Re: (スコア:0)
パスフレーズとかは文字列のビット数程の情報量はない。
ランダムな単語列としたら、語彙数を単語数分掛けた数で考えるべき。
ただ語彙の数は攻撃側の辞書によるのでその情報量は評価が出来ない。
使った語彙をカバーしつつも語彙が少ない辞書でアタックされると弱い。
極端な例だと使っている単語しか入ってない辞書なら瞬殺される。
だからまぁ、パスフレーズを長めに取るのはいいことだよ。
マイナーな単語やミススペルが混ざるとなお良し。
Re: (スコア:0)
要するに大した意味ないんだな
パスフレーズとかは文字列のビット数程の情報量はないとは言うが、それでも総当たり攻撃の対策としては大小英数字で16字もあれば十分
そして辞書攻撃の対策で求められるのはその辞書に含まれないことか、または含まれててもそれらの組み合わせから回避できるかどうかであって本質的には長さじゃない
なので、この両方を満たすためにXX万語の辞書から3単語選長さと組み合わせを両立させろって話が出たりする
短いパスワードはダメというのは正しいが、それは長ければいいという話ではない
パスフレーズを*長め*に取るのはいいことだとしても、その長めとは十数文字程度の話であって、100文字は意味がないほど長いだけ
Re:パスワードつきzipの中身も広告に利用される? (スコア:0)
16字の根拠は?ちゃんと高校生レベルの対数計算した?
文脈的に鍵導出関数を信用しない場合だよね?
16文字のエントロピー計算してみな?