tag:blogger.com,1999:blog-3636872937372639901.post5879808139934689975..comments2024-03-27T21:24:43.584+09:00Comments on 本の虫: xkcd: パスワード強度江添亮http://www.blogger.com/profile/13387122818743087721noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-3636872937372639901.post-31117803234725672112014-01-18T17:42:55.057+09:002014-01-18T17:42:55.057+09:00>辞書攻撃って基本的には単語でしか攻めない
真面目な辞書攻撃は総当りで使用可能文字を連結する代...>辞書攻撃って基本的には単語でしか攻めない<br />真面目な辞書攻撃は総当りで使用可能文字を連結する代わりに辞書単語を連結して攻めたりするから、連結後の文字数制限などで弾かれない限り普通に命中するよ。<br /><br />>辞書攻撃を考慮すると、強度ってどうなるんでしょう。<br />ランダム英数字N文字は62^Nに対して、N単語文章だと辞書収録単語数^Nになるから、文字数相当の単語数を確保するならかなり強度が上がる。<br />最終的な総文字数辺りで見れば強度はおもいっきり下がるし、単語辞書に加えて単語の連鎖を統計した単語選択辞書まで用意されると微妙だけど、そこまで行くと辞書のチューニングコストが凄いことに…<br />本当にフレーズでパスフレーズ作る人口考えたら、当分は単語連鎖情報の統計から有意義な傾向を抽出出来ないんじゃないかと。Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-3636872937372639901.post-19872655212502251472013-11-02T11:57:16.129+09:002013-11-02T11:57:16.129+09:00辞書攻撃って基本的には単語でしか攻めないので、あまり関係ないのでは。
辞書攻撃って基本的には単語でしか攻めないので、あまり関係ないのでは。<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-3636872937372639901.post-62424079080074633962013-11-02T11:07:43.545+09:002013-11-02T11:07:43.545+09:00辞書攻撃の存在を忘れていませんか?
辞書攻撃を考慮すると、強度ってどうなるんでしょう。辞書攻撃の存在を忘れていませんか?<br />辞書攻撃を考慮すると、強度ってどうなるんでしょう。Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-3636872937372639901.post-90208992288187226512013-11-02T10:56:46.435+09:002013-11-02T10:56:46.435+09:00そういう原因ではなく、リモートから攻撃する場合にクライアント側からはハッシュコードを送れないから元の...そういう原因ではなく、リモートから攻撃する場合にクライアント側からはハッシュコードを送れないから元のパスワードを知る必要があること、ハッシュが逆算できないことが原因です。<br /><br />短い方から総当たりや辞書攻撃されると、ハッシュの強度から期待されるより遙かに先にパスワードがバレることが問題なのです。Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-3636872937372639901.post-81971311411866981802013-11-02T08:42:20.321+09:002013-11-02T08:42:20.321+09:00まあ、それはそうですが、人間は256ビットのビット列を覚えているわけではなく、
何らかの文字コードの...まあ、それはそうですが、人間は256ビットのビット列を覚えているわけではなく、<br />何らかの文字コードの印字可能な文字列で覚えているわけで、<br />さらにこの手のハッシュ関数は、人間が手で入力する程度の情報量で簡単に衝突しないように工夫されていますので。<br /><br />10文字の覚えにくいパスワードより、20文字の覚えやすいパスフレーズの方が強度的には高いのです。江添亮https://www.blogger.com/profile/13387122818743087721noreply@blogger.comtag:blogger.com,1999:blog-3636872937372639901.post-38099753385041852582013-11-02T08:08:29.028+09:002013-11-02T08:08:29.028+09:00最近は「パスワードの暗号化すらしないサービスとかどんな情弱だよwww」って風潮ですけど、どんなに強力...最近は「パスワードの暗号化すらしないサービスとかどんな情弱だよwww」って風潮ですけど、どんなに強力なパスワードでも強度はハッシュのビット数(たとえばSHA-256なら256ビット)以上には絶対なりませんね。Anonymousnoreply@blogger.com