アカウント名:
パスワード:
>別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。
・パスワードには数字や記号を使ってもいい(必ず使え、ではない)・パスワードの長さはいくら長くてもいい
ってことにしてくれれば安全になるのでそうしてくれ
>パスワードの長さはいくら長くてもいいそれ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)
たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。無限超のパスワードを許可するポリシーなどあり得ない。
「記号」の方も同様.「コレとコレのみ」と具体的に指定するならともかく、「記号ならなんでもOK」ってなると動作確認が大変だ。まずは「記号」の文字セットを定義する所から。
ASCIIのみって定義しておけば問題ないように思うけど
よし、パスワードが流出したら警報するよう^Gを使おう!
> たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。
タイムアウトでは?
「1TBのパスワード」って最速でどのくらいの時間で打ち込めるんだろう?
テラTは1012で1兆。1秒で1文字をタイプしたとしても3万年以上かかりますね。普通のPCでは入力も保存もできない量でしょう。
「128バイト以内の配列」くらいに抽象化して考えられないの?記号が文字がと言うのがばからしい
同感。パスワードは文字で考えず、任意のバイト列を受け入れるようにしてほしい。
それで\0を含む初期パスワードが発行されたりするんですね。不幸なパスワードに当たった人は大変だなあ。テスターさんの心の健康にも気を配りたいですね。
極端な例と動作確認を口実にセキュリティの常識に逆らう部下を持って気の毒だ。無制限が怖いなら「現実的なパスワード」して十分に長い100文字の10倍程度にしておけばいいだけの話。
文字種もどうせライブラリのハッシュ関数に食わせるのだからバイナリ打ち込まれようとそのまま受け入れればいいだろうに。こういう過剰な制約を加えるシステムはだいたい「イケてない」
そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p
まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。
まず、72文字近くパスワードを打ち込めるシステムは一般的なのだろうか、
そして、(ソルトを考慮したとしても)40文字50文字に文字数を増やさずに数文字や十数文字しか受け入れないシステムを作る理由はなんなのだろうか?# 数文字しか受け入れられないハッシュ関数を独自実装している訳でもあるまいし
理由が何かと言えば、それ以上の長さのパスワードを望むのは逸般人だけだからでしょうね。安全性の要件を満たすだけならその程度の長さの無作為な文字列で十分です。長い文字列が設定できなくて内部実装まで持ち出してぶーたれるのは逸般人ぐらいのものですよ。
その意見はそのまま、逸般人とかいう人の要望を、極端な例(1TB)とか内部実装(72文字しか受け入れないハッシュ関数)とかを持ち出して拒否している人たちにも当てはまりそうですね。
> その程度の長さの無作為な文字列で十分です。
そして、多くの人は「123456」を使用する。(おそらく、自由に入力できないから覚えやすいのを使うのだろう)
んー、何言ってるのかわかんない。
多分あなたの言う逸般人は、当然一般人ではないけど、開発に詳しい人間ともまた別種の人間ではあるだろうね。その逸般人は「長いパスワードが受容されるべき」と考えながら同時に「仕様を具体的に決定しない」タイプの人間だ。
だから話の軸がブレブレになる。感覚的なんだね。
JR東海の新幹線EX予約発券マシーンはパスワードの8桁目以降を無視する仕様になってますねまあそれで実際に発券ミスとか発券漏れが起きてないから問題ないのでしょうが
たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い
エンジニアとかプログラマじゃなくて数学者の思考だコレマジこわい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
パスワードポリシーを統一してくれねえかな (スコア:2)
>別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。
・パスワードには数字や記号を使ってもいい(必ず使え、ではない)
・パスワードの長さはいくら長くてもいい
ってことにしてくれれば安全になるのでそうしてくれ
Re:パスワードポリシーを統一してくれねえかな (スコア:1)
>パスワードの長さはいくら長くてもいい
それ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)
たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。
無限超のパスワードを許可するポリシーなどあり得ない。
「記号」の方も同様.「コレとコレのみ」と具体的に指定するならともかく、
「記号ならなんでもOK」ってなると動作確認が大変だ。
まずは「記号」の文字セットを定義する所から。
Re: (スコア:0)
ASCIIのみって定義しておけば問題ないように思うけど
Re:パスワードポリシーを統一してくれねえかな (スコア:1)
よし、パスワードが流出したら警報するよう^Gを使おう!
Re: (スコア:0)
> たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。
タイムアウトでは?
Re: (スコア:0)
「1TBのパスワード」って最速でどのくらいの時間で打ち込めるんだろう?
Re:パスワードポリシーを統一してくれねえかな (スコア:1)
テラTは1012で1兆。1秒で1文字をタイプしたとしても3万年以上かかりますね。
普通のPCでは入力も保存もできない量でしょう。
Re: (スコア:0)
「128バイト以内の配列」くらいに抽象化して考えられないの?
記号が文字がと言うのがばからしい
Re: (スコア:0)
同感。パスワードは文字で考えず、任意のバイト列を受け入れるようにしてほしい。
Re: (スコア:0)
それで\0を含む初期パスワードが発行されたりするんですね。
不幸なパスワードに当たった人は大変だなあ。テスターさんの心の健康にも気を配りたいですね。
Re: (スコア:0)
極端な例と動作確認を口実にセキュリティの常識に逆らう部下を持って気の毒だ。
無制限が怖いなら「現実的なパスワード」して十分に長い100文字の10倍程度にしておけばいいだけの話。
文字種もどうせライブラリのハッシュ関数に食わせるのだからバイナリ打ち込まれようとそのまま受け入れればいいだろうに。
こういう過剰な制約を加えるシステムはだいたい「イケてない」
Re: (スコア:0)
そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p
まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。
Re: (スコア:0)
まず、72文字近くパスワードを打ち込めるシステムは一般的なのだろうか、
そして、(ソルトを考慮したとしても)40文字50文字に文字数を増やさずに
数文字や十数文字しか受け入れないシステムを作る理由はなんなのだろうか?
# 数文字しか受け入れられないハッシュ関数を独自実装している訳でもあるまいし
Re: (スコア:0)
理由が何かと言えば、それ以上の長さのパスワードを望むのは逸般人だけだからでしょうね。
安全性の要件を満たすだけならその程度の長さの無作為な文字列で十分です。
長い文字列が設定できなくて内部実装まで持ち出してぶーたれるのは逸般人ぐらいのものですよ。
Re: (スコア:0)
その意見はそのまま、逸般人とかいう人の要望を、
極端な例(1TB)とか内部実装(72文字しか受け入れないハッシュ関数)とかを
持ち出して拒否している人たちにも当てはまりそうですね。
Re: (スコア:0)
> その程度の長さの無作為な文字列で十分です。
そして、多くの人は「123456」を使用する。
(おそらく、自由に入力できないから覚えやすいのを使うのだろう)
Re: (スコア:0)
んー、何言ってるのかわかんない。
多分あなたの言う逸般人は、当然一般人ではないけど、開発に詳しい人間ともまた別種の人間ではあるだろうね。
その逸般人は「長いパスワードが受容されるべき」と考えながら同時に「仕様を具体的に決定しない」タイプの人間だ。
だから話の軸がブレブレになる。感覚的なんだね。
Re: (スコア:0)
そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p
まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。
JR東海の新幹線EX予約発券マシーンはパスワードの8桁目以降を無視する仕様になってますね
まあそれで実際に発券ミスとか発券漏れが起きてないから問題ないのでしょうが
Re: (スコア:0)
>パスワードの長さはいくら長くてもいい
それ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)
たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い
エンジニアとかプログラマじゃなくて数学者の思考だコレ
マジこわい