アカウント名:
パスワード:
プロバイダ側にdomain名前を、@hogehoge.jpから@mail1.hogehoge.jpに変えてもらうという提案はいかがでしょう?痛みはともに分かち合うということで。
# 解決にはなっていないかもしれないが、提案は無料。
予言した悪い例を自ら踏襲する上それをこの場で公開するとかw
パスワードは辞書攻撃に耐える堅いのを使ってるから大丈夫です。
その大丈夫はあてにならないので改めてください。
セキュリティに大丈夫はありません。大丈夫だと思ったところに落とし穴があるんです。
自分は、サービス側が(文字種と文字数)許す限り、ランダム文字列を50文字で作ってるんですが、それでも大丈夫じゃないですか?絶対はないですが、大丈夫だとは思うのですが。
過信しない方が。http://security.srad.jp/story/12/09/22/0831222/ [srad.jp]Hotmailのパスワードは先頭16文字だけが認証に使われる
> Hotmailのパスワードは先頭16文字だけが認証に使われる
マイクロソフトアカウントでもそのままですね。# たった今、変えてみた。
とは言え、英数字と記号が使えるのでランダム性を確保できていれば、それほど気にする事ではないのでは?単純に文字の個数の16乗を取ってみれば、総当たり攻撃が無意味なくらいの値になりませんか?
ローカルのアカウントデータベースが抜かれたら別でしょうけれど、Hotmailアカウントなので、総当たり攻撃の手段はWeb経由しかないはず。そうなると、特に価値のあるアカウントであればともかく、毎秒どれだけの攻撃をかけられるのか考えれば、これ以上長くても実用上は変わらないと言えませんか?
あ、CPUの性能が云々と言うのは無しですよ?受け取る側のサーバや通信路の性能、そして、運用体制を考えれば、攻撃側のCPU性能が今の最高性能の物の百万倍でも総当たり攻撃は無効なはずです。
そして、通信路やサーバ側の性能が上がる未来においては、よりパスワードを長くするか、別の認証手段を取ればよいだけの事ですから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
Objection!‼ (スコア:1)
プロバイダ側にdomain名前を、@hogehoge.jpから@mail1.hogehoge.jpに変えてもらうという提案はいかがでしょう?
痛みはともに分かち合うということで。
# 解決にはなっていないかもしれないが、提案は無料。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re: (スコア:1)
結局、ユーザー名を今使ってる stat から stat2 に変更することにします。
Re: (スコア:1)
予言した悪い例を自ら踏襲する上それをこの場で公開するとかw
Re: (スコア:1)
ユーザー名を公開しても、パスワードには他人から推察される文字列を使わなければ全然問題ないと思います。
でも、世の中「hoge1234」の人多いですよねえ。PCのトラブルシュートを頼まれたりして知る他人のパスワードで、堅いパスワードってあまり見ないです。
本当は ユーザー名=メールアドレス名 は間違っていない!弱いパスワードを使う奴が悪だ! と強く主張したいんだけど、それは現実から離れた主張の気がします。
Re: (スコア:0)
パスワードは辞書攻撃に耐える堅いのを使ってるから大丈夫です。
その大丈夫はあてにならないので改めてください。
セキュリティに大丈夫はありません。
大丈夫だと思ったところに落とし穴があるんです。
Re: (スコア:0)
自分は、サービス側が(文字種と文字数)許す限り、ランダム文字列を50文字で作ってるんですが、それでも大丈夫じゃないですか?
絶対はないですが、大丈夫だとは思うのですが。
Re: (スコア:0)
過信しない方が。
http://security.srad.jp/story/12/09/22/0831222/ [srad.jp]
Hotmailのパスワードは先頭16文字だけが認証に使われる
Re:Objection!‼ (スコア:0)
> Hotmailのパスワードは先頭16文字だけが認証に使われる
マイクロソフトアカウントでもそのままですね。
# たった今、変えてみた。
とは言え、英数字と記号が使えるのでランダム性を確保できていれば、それほど気にする事ではないのでは?
単純に文字の個数の16乗を取ってみれば、総当たり攻撃が無意味なくらいの値になりませんか?
ローカルのアカウントデータベースが抜かれたら別でしょうけれど、Hotmailアカウントなので、総当たり攻撃の手段はWeb経由しかないはず。
そうなると、特に価値のあるアカウントであればともかく、毎秒どれだけの攻撃をかけられるのか考えれば、これ以上長くても実用上は変わらないと言えませんか?
あ、CPUの性能が云々と言うのは無しですよ?
受け取る側のサーバや通信路の性能、そして、運用体制を考えれば、攻撃側のCPU性能が今の最高性能の物の百万倍でも総当たり攻撃は無効なはずです。
そして、通信路やサーバ側の性能が上がる未来においては、よりパスワードを長くするか、別の認証手段を取ればよいだけの事ですから。