アカウント名:
パスワード:
前に何回か「Gmailにメールの内容を広告に利用されないようにする事のみを目的としてPPAPするのって有効なのかな?」って質問のコメントを書いたけど、結局Google DriveでもGmailでもPPAPしても結局中身みられて広告パーソナライズに利用されちゃうのかな?
これが嫌だからパスワード100文字以上にしてDMGで圧縮してDriveに入れてるけど、いつか数十年後に破られるんだろうなってずっと思ってる。いくら暗号化してもその場しのぎだよな。
広告に使うようなあなたの趣味趣向が数十年後に破られて困ることがどこにあるんだろう、むしろ数十年後に現在の趣味趣向に沿った広告が出てほっこりするほうがありうるんじゃないか?
素人質問で恐縮ですが、例えばAES-256を使ってるとしてそれに対して800ビット(1文字1バイトとして100文字分)のキーを与える意味ってあるの?
パスフレーズとかは文字列のビット数程の情報量はない。ランダムな単語列としたら、語彙数を単語数分掛けた数で考えるべき。ただ語彙の数は攻撃側の辞書によるのでその情報量は評価が出来ない。使った語彙をカバーしつつも語彙が少ない辞書でアタックされると弱い。極端な例だと使っている単語しか入ってない辞書なら瞬殺される。
だからまぁ、パスフレーズを長めに取るのはいいことだよ。マイナーな単語やミススペルが混ざるとなお良し。
要するに大した意味ないんだな
パスフレーズとかは文字列のビット数程の情報量はないとは言うが、それでも総当たり攻撃の対策としては大小英数字で16字もあれば十分そして辞書攻撃の対策で求められるのはその辞書に含まれないことか、または含まれててもそれらの組み合わせから回避できるかどうかであって本質的には長さじゃない
なので、この両方を満たすためにXX万語の辞書から3単語選長さと組み合わせを両立させろって話が出たりする
短いパスワードはダメというのは正しいが、それは長ければいいという話ではないパスフレーズを*長め*に取るのはいいことだとしても、その長めとは十数文字程度の話であって、100文字は意味がないほど長いだけ
16字の根拠は?ちゃんと高校生レベルの対数計算した?文脈的に鍵導出関数を信用しない場合だよね?16文字のエントロピー計算してみな?
#4463153の素人ですが、私はAES-256に対して800bit与えて鍵生成する意味(意義)を聞いてますあなたの回答には、アルゴリズムの具体例として挙げたAES-256を踏まえた内容は一切なく、単なるいいパスワードの付け方という低いレイヤーの話だけで成り立っていますそんな素人でも知ってることを答えられても困りますついでに言うなら、100文字以上にすることがいいパスワードの付け方だと思ってるど素人からの回答は求めてないです
本当に素人質問するやつがあるか、と言おうと思ったがどう考えても理不尽なのでやめた。
# 謙遜のつもりなのかなんなのか知らないが、ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい
素人質問にすら答えられないやつが、他の事でつまらないマウント取ろうとしておきながらやっぱやーめたって書いてるのみっともねぇな……しかも『ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい』とか自分のやってること棚上げして説教がましてるのもポイント高い
素人質問が~とか言う質問ってどこまで知ってて言ってるのかわからないから困るんだよなまあ俺も素人だけど答えるね最悪のシナリオとして選んだ鍵導出関数が脆弱性だらけで全く用をなさないと仮定する(AESと鍵導出は全然別物なのは知ってますか?パスワードからAES用に別途PBKDF2とかで所定のビット数の鍵を導出するのです)となると攻撃者は総当たりする上でAES上の鍵を直接ブルートフォースするか、用をなさない鍵導出関数を経由してパスワード空間上でブルートフォースするかの二択。普通はパスワード空間上でブルートフォースするから、800ビットとかにしとけば無駄に本来
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
パスワードつきzipの中身も広告に利用される? (スコア:0)
前に何回か「Gmailにメールの内容を広告に利用されないようにする事のみを目的としてPPAPするのって有効なのかな?」って質問のコメントを書いたけど、結局Google DriveでもGmailでもPPAPしても結局中身みられて広告パーソナライズに利用されちゃうのかな?
Re:パスワードつきzipの中身も広告に利用される? (スコア:0)
これが嫌だからパスワード100文字以上にしてDMGで圧縮してDriveに入れてるけど、いつか数十年後に破られるんだろうなってずっと思ってる。
いくら暗号化してもその場しのぎだよな。
Re:パスワードつきzipの中身も広告に利用される? (スコア:1)
広告に使うようなあなたの趣味趣向が数十年後に破られて困ることがどこにあるんだろう、
むしろ数十年後に現在の趣味趣向に沿った広告が出てほっこりするほうがありうるんじゃないか?
Re: (スコア:0)
素人質問で恐縮ですが、例えばAES-256を使ってるとしてそれに対して800ビット(1文字1バイトとして100文字分)のキーを与える意味ってあるの?
Re: (スコア:0)
パスフレーズとかは文字列のビット数程の情報量はない。
ランダムな単語列としたら、語彙数を単語数分掛けた数で考えるべき。
ただ語彙の数は攻撃側の辞書によるのでその情報量は評価が出来ない。
使った語彙をカバーしつつも語彙が少ない辞書でアタックされると弱い。
極端な例だと使っている単語しか入ってない辞書なら瞬殺される。
だからまぁ、パスフレーズを長めに取るのはいいことだよ。
マイナーな単語やミススペルが混ざるとなお良し。
Re: (スコア:0)
要するに大した意味ないんだな
パスフレーズとかは文字列のビット数程の情報量はないとは言うが、それでも総当たり攻撃の対策としては大小英数字で16字もあれば十分
そして辞書攻撃の対策で求められるのはその辞書に含まれないことか、または含まれててもそれらの組み合わせから回避できるかどうかであって本質的には長さじゃない
なので、この両方を満たすためにXX万語の辞書から3単語選長さと組み合わせを両立させろって話が出たりする
短いパスワードはダメというのは正しいが、それは長ければいいという話ではない
パスフレーズを*長め*に取るのはいいことだとしても、その長めとは十数文字程度の話であって、100文字は意味がないほど長いだけ
Re: (スコア:0)
16字の根拠は?ちゃんと高校生レベルの対数計算した?
文脈的に鍵導出関数を信用しない場合だよね?
16文字のエントロピー計算してみな?
Re: (スコア:0)
#4463153の素人ですが、私はAES-256に対して800bit与えて鍵生成する意味(意義)を聞いてます
あなたの回答には、アルゴリズムの具体例として挙げたAES-256を踏まえた内容は一切なく、単なるいいパスワードの付け方という低いレイヤーの話だけで成り立っています
そんな素人でも知ってることを答えられても困ります
ついでに言うなら、100文字以上にすることがいいパスワードの付け方だと思ってるど素人からの回答は求めてないです
Re: (スコア:0)
本当に素人質問するやつがあるか、と言おうと思ったがどう考えても理不尽なのでやめた。
# 謙遜のつもりなのかなんなのか知らないが、ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい
Re: (スコア:0)
素人質問にすら答えられないやつが、他の事でつまらないマウント取ろうとしておきながらやっぱやーめたって書いてるのみっともねぇな……
しかも『ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい』とか自分のやってること棚上げして説教がましてるのもポイント高い
Re: (スコア:0)
素人質問が~とか言う質問ってどこまで知ってて言ってるのかわからないから困るんだよな
まあ俺も素人だけど答えるね
最悪のシナリオとして選んだ鍵導出関数が脆弱性だらけで全く用をなさないと仮定する
(AESと鍵導出は全然別物なのは知ってますか?パスワードからAES用に別途PBKDF2とかで所定のビット数の鍵を導出するのです)
となると攻撃者は総当たりする上でAES上の鍵を直接ブルートフォースするか、用をなさない鍵導出関数を経由してパスワード空間上でブルートフォースするかの二択。
普通はパスワード空間上でブルートフォースするから、800ビットとかにしとけば無駄に本来