パスワードについて以前から疑問に思ってることがあるんだけどさ
■ このスレッドは過去ログ倉庫に格納されています
よく「大文字小文字数字を混ぜて10文字以内」みたいな指示あるじゃん。
それより「細かい指定は特無し。50文字いない」とかのほうがパターン多くて良くない?なんで数字入れなきゃだめなの? そういう縛りにしたら
簡単なパスワードで済ますやつが出てくるだろ
トラブルだろ
対処しないといけないだろ
コストは自社だろ
やってられるかーってなるんじゃないかな >>1
言われてみればたしかに文字種に縛りを設けない方がパターン多いことになるんだな
言われるまで気にしてなかったしそれ気づいてない人大勢いると思う
だからこの縛り仕様がまかり通ってるわけだし
誰かが問題提起すれば変わっていく…のか? 俺が不思議に思ってるのはなにかのサイトに会員登録するときにメールアドレスをコピペ禁止にするやつ
メアドをコピペ禁止にしてそれ意味あるのか?逆に手打ち入力強制させた方が間違いが起こる可能性高くないか?と思ってる
コピーして貼り付ければコピー元が間違ってる事なんて無いし頭欠け尻欠けくらいなコピペミスがあるとしても自分でやって見てりゃすぐ気づいて1字足して打つだけで即済むのに
全部を手打ちで強制して全文字に対して誤入力リスクを課す意味がわからんわ 12文字英数字のみなら現代のコンピューターで総当たりやったら現実的時間で解析できちゃう
実際にはトライ回数で制限設けてれば総当たりは防げるけど
現代なら英数記号含めて19文字くらいが望ましい
俺は26文字だけどね
また、スーパーハッカーにパスワードファイルをぶっこ抜かれたら、それは一方向ハッシュ関数の結果として記録されているんだけど、それさえも結局総当たりすればいずれ出力が一致しる入力を見つけられてしまうし、その際はトライ回数制限はないからいよいよ突破されてしまう
だからパスワードは漏れるものとみなして最悪二か月に一回は変更すべきだ
そして一度使ったパスワードは一生使わない事も大事だ ちなみに英数記号に加えてラテン文字も使用したい所だ
そうすると場合の数は膨大に膨れ上がり解析は困難になる 記号入れるのは別にいいんだけど記号入れろってとこと記号使えませんってとこが混在してるのがイヤ それでいて、二ヶ月もすれば有効期限切れ。
前回前々回と同じのは入れられない。
さて、どうする? ちなみにどれだけパスワードを解析困難にしていてもキーロガーなど、入力を監視するマルウェアに感染していたら盗まれてしまう
しっかりとセキュリティソフトで定期的にウィルスチェックをしよう
キーロガーに感染していなくても、フィッシングなど、偽サイトでうっかり自分からパスワードをお漏らししてしまう危険もある
この対策はURLのドメインが正規の物であるかチェックすることだ
パスワードを要求されたら必ずURLのドメインをチェックする癖をつけよう 1234とかabcとかにしてハックされてサポセンくる奴がいるから、それの対策 ■ このスレッドは過去ログ倉庫に格納されています