新生鳩丸掲示板♯

>SQLインジェクションはエコーしなくても発生するのでだいたいあんしんです【謎】。

　御意。ってむしろぜんぜん安心できませんけれども。

　そうですね。

　DES の仕様自体は 64 bit ずつに切って全部符号化できるので、頭 8 文字しか見ないのは DES の問題と言うより crypt(3) の問題なのでしょうね。

>「早口の限界」があるのでしたら逆に「遅口(?)の限界」もあるのでしょうか?

あります。その場合は「これ以上遅くしゃべれません」と言います。スピードは最高から最低まで10段階で変更できます。

こんにちわ～。初めまして。はると申します。

よく来させてもらってます。＾＾

あんまり詳しくないのでもしかしたら間違ってるかもしれませんが、気になったので～。（間違ってたら言ってください）

これって、DESの罠というよりか、仕様の罠のような気がします。

DESはブロック暗号を行うので、確かに64ビットしか見ないのですが、それは3-DESも同じだったかと思います（私の記憶が正しければ3-DESは3つの鍵からそれぞれ巡回鍵を作って3回DESをまわすって感じだったかと～）。なので、DESとかだと8文字単位になるように後ろを埋めて8文字毎にパスワードを暗号化するんじゃないですかね？（推測）平分攻撃が大丈夫なのかはよくわかりませんが～。

あと、

>もう少し厳密に言うと、頭の 8文字からそれぞれ下位 7ビットを抽出した 56 ビットしか見ていません。

ですが、DESでは、64ビットはそのまま必要だった気がします。32ビット毎に左右の要素に分けて、48ビットに拡張して・・・云々、って感じじゃなかったでしたっけ？

56ビットなのは鍵の話だったと思います。（8ビット目がチェックサムなので）

DESは一方向ハッシュ関数ではないので復号できなくてはいかんから、平分を削ったりはしないはづ！＞＜

間違ってたらごめんさい。

>>文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

>　それはパスワードをエコーしちゃう時点でちょっと……。

SQLインジェクションはエコーしなくても発生するのでだいたいあんしんです【謎】。そもそもパスワードを数字4桁にしちゃうくらいですからエコーバックくらいは当たり前です【謎】。

優先順位があるなら割り込み処理に近いですね。

後回しにすると忘れ去ってしまうということはエッジトリガですか【謎】。

「早口の限界」があるのでしたら逆に「遅口(?)の限界」もあるのでしょうか?

>御意。それは間違いなくありますね。最近良く見かけるパスワードリマインダ (秘密の質問を入力させるやつ) も個人的には嫌なのですが、この手のコスト減のために導入しているのだと思います。

「例：母親の名前」という問いに「例：マルゲリータ」という答えとか用意しちゃって、まったく思い出せなくなってしまっています。下手にその場の思いつきで凝ると大変です。

優先順位というのが発生することが多く、どちらでもない、とも言えるのでは？　基本「キュー」だと思います。この場合、全体を見てじゃなくて、個人的に、となることが多く問題が発生しやすいですが。

優先順位が無いとして、「キュー」が「スタック」になるのは、僕のような記憶力のよろしくない人だと思います。なお、記憶力が良くないので、後回しにすれば後回しにするほど記憶から消えやすく、救いようもないというオチあり。

「住基ネットはクローズドのシステムだ。これは、気持ち的にという意味で、本質的な意味ではない。」ということでした。

「住基ネットはクローズドのシステムだ。これは、俺的にという意味で、公的な意味ではない。」とも言われています。

s/普通なのではいか/普通なのではないか/

ですか？

>その仕事はスタックではなくキューにたまるのが普通なのではいかと思ったり思わなかったり。

キューにためるのが普通なのにスタックにたまるのが普通ということが避けがたい現実なのです。きっと。

>いや、そうでもなく、コメントほしいなあというトピックにはコメントが開放されているのです。

うぉ。誤解してました。ごめん【謎】。シュールですね【謎】。

>文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

　それはパスワードをエコーしちゃう時点でちょっと……。

>まあよしんば譲ってこの際 4桁でも良しとしよう、という前提であっても、せめてアルファベットも指定できると良いのに… とよく思いますね。

文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

>>バカ日本地図以外のトピックには、相変わらず殆どコメント等ついてない点などが秀逸【謎】。

>

>そもそも【謎】コメントを付けれないようにしてるんじゃないかと推測【謎】。

いや、そうでもなく、コメントほしいなあというトピックにはコメントが開放されているのです。

まあよしんば譲ってこの際 4桁でも良しとしよう、という前提であっても、せめてアルファベットも指定できると良いのに… とよく思いますね。

>4桁で既にお忘れになるあまり記憶力のよろしくない方が多い。→桁を増やすと対応が多くなる。→被害の発生の確率とその損害と、増える対応によってかかるコストとを比べて、現状では後者の方が金額が大きい。→よって現状維持。

　御意。それは間違いなくありますね。最近良く見かけるパスワードリマインダ (秘密の質問を入力させるやつ) も個人的には嫌なのですが、この手のコスト減のために導入しているのだと思います。

　ただ、問題なのは「短いパスワードを使う人がいる」ということではなくて、「パスワードの選択肢の幅が狭すぎる」ということなのです。忘れっぽい人が自らの意思で短い物を設定するのは問題ないのですが、長いパスワードが使えないと選択の幅が狭くなるわけで、総当りのコストがとても低くなっているという……。

　これをたとえば「4桁 *以上* の数字」などとするだけでも、だいぶ強くなるのではないかと思います。

なぜ4桁の悪しき慣習がそのままなのかについて、勝手に推測。

4桁で既にお忘れになるあまり記憶力のよろしくない方が多い。→桁を増やすと対応が多くなる。→被害の発生の確率とその損害と、増える対応によってかかるコストとを比べて、現状では後者の方が金額が大きい。→よって現状維持。

ということでは？　なんの解決にもなってませんが。

>月が変わったので、コンテンツIDが二つ増えてしまいましたが、何か?(^^;)

私は既にコンテンツＩＤ７つでもうこれ以上増やしたくない感じです。

そろそろ１９鯖２７鯖のキャラ消す時期かもしれない。