パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究」記事へのコメント

  • >別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。

    ・パスワードには数字や記号を使ってもいい(必ず使え、ではない)
    ・パスワードの長さはいくら長くてもいい

    ってことにしてくれれば安全になるのでそうしてくれ

    • by Anonymous Coward

      >パスワードの長さはいくら長くてもいい
      それ、前の会社の上司が言ってたけど却下した。(オブラートに包んで)

      たとえば1TBのパスワードを入力するとどうなるか考えてみれば良い。
      無限超のパスワードを許可するポリシーなどあり得ない。

      「記号」の方も同様.「コレとコレのみ」と具体的に指定するならともかく、
      「記号ならなんでもOK」ってなると動作確認が大変だ。
      まずは「記号」の文字セットを定義する所から。

      • by Anonymous Coward

        極端な例と動作確認を口実にセキュリティの常識に逆らう部下を持って気の毒だ。
        無制限が怖いなら「現実的なパスワード」して十分に長い100文字の10倍程度にしておけばいいだけの話。

        文字種もどうせライブラリのハッシュ関数に食わせるのだからバイナリ打ち込まれようとそのまま受け入れればいいだろうに。
        こういう過剰な制約を加えるシステムはだいたい「イケてない」

        • by Anonymous Coward

          そのハッシュ関数は72文字以降が無視されてるかもしれませんけどね:p

          まあ72文字以降が違っていてもログインできる仕様には誰も気づかないだろうし気にしなくて良いですよね。

          • by Anonymous Coward

            まず、72文字近くパスワードを打ち込めるシステムは一般的なのだろうか、

            そして、(ソルトを考慮したとしても)40文字50文字に文字数を増やさずに
            数文字や十数文字しか受け入れないシステムを作る理由はなんなのだろうか?
            # 数文字しか受け入れられないハッシュ関数を独自実装している訳でもあるまいし

            • by Anonymous Coward

              理由が何かと言えば、それ以上の長さのパスワードを望むのは逸般人だけだからでしょうね。
              安全性の要件を満たすだけならその程度の長さの無作為な文字列で十分です。
              長い文字列が設定できなくて内部実装まで持ち出してぶーたれるのは逸般人ぐらいのものですよ。

              • by Anonymous Coward

                その意見はそのまま、逸般人とかいう人の要望を、
                極端な例(1TB)とか内部実装(72文字しか受け入れないハッシュ関数)とかを
                持ち出して拒否している人たちにも当てはまりそうですね。

              • by Anonymous Coward on 2020年07月07日 18時37分 (#3847362)

                んー、何言ってるのかわかんない。

                多分あなたの言う逸般人は、当然一般人ではないけど、開発に詳しい人間ともまた別種の人間ではあるだろうね。
                その逸般人は「長いパスワードが受容されるべき」と考えながら同時に「仕様を具体的に決定しない」タイプの人間だ。

                だから話の軸がブレブレになる。感覚的なんだね。

                親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...