アカウント名:
パスワード:
>別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。
・パスワードには数字や記号を使ってもいい(必ず使え、ではない)・パスワードの長さはいくら長くてもいい
ってことにしてくれれば安全になるのでそうしてくれ
>パスワードの長さはいくら長くてもいいそれ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)
たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。無限超のパスワードを許可するポリシーなどあり得ない。
「記号」の方も同様.「コレとコレのみ」と具体的に指定するならともかく、「記号ならなんでもOK」ってなると動作確認が大変だ。まずは「記号」の文字セットを定義する所から。
極端な例と動作確認を口実にセキュリティの常識に逆らう部下を持って気の毒だ。無制限が怖いなら「現実的なパスワード」して十分に長い100文字の10倍程度にしておけばいいだけの話。
文字種もどうせライブラリのハッシュ関数に食わせるのだからバイナリ打ち込まれようとそのまま受け入れればいいだろうに。こういう過剰な制約を加えるシステムはだいたい「イケてない」
そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p
まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。
JR東海の新幹線EX予約発券マシーンはパスワードの8桁目以降を無視する仕様になってますねまあそれで実際に発券ミスとか発券漏れが起きてないから問題ないのでしょうが
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
パスワードポリシーを統一してくれねえかな (スコア:2)
>別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。
・パスワードには数字や記号を使ってもいい(必ず使え、ではない)
・パスワードの長さはいくら長くてもいい
ってことにしてくれれば安全になるのでそうしてくれ
Re: (スコア:1)
>パスワードの長さはいくら長くてもいい
それ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)
たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。
無限超のパスワードを許可するポリシーなどあり得ない。
「記号」の方も同様.「コレとコレのみ」と具体的に指定するならともかく、
「記号ならなんでもOK」ってなると動作確認が大変だ。
まずは「記号」の文字セットを定義する所から。
Re: (スコア:0)
極端な例と動作確認を口実にセキュリティの常識に逆らう部下を持って気の毒だ。
無制限が怖いなら「現実的なパスワード」して十分に長い100文字の10倍程度にしておけばいいだけの話。
文字種もどうせライブラリのハッシュ関数に食わせるのだからバイナリ打ち込まれようとそのまま受け入れればいいだろうに。
こういう過剰な制約を加えるシステムはだいたい「イケてない」
Re: (スコア:0)
そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p
まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。
Re:パスワードポリシーを統一してくれねえかな (スコア:0)
そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p
まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。
JR東海の新幹線EX予約発券マシーンはパスワードの8桁目以降を無視する仕様になってますね
まあそれで実際に発券ミスとか発券漏れが起きてないから問題ないのでしょうが