![パスワード管理ソフトはBitwardenが非常にオススメ!1PasswordからBitwardenへ乗り換えた話。 | ザクピカ](https://cdn-ak-scissors.b.st-hatena.com/image/square/ccb17fbc48453f40ee0ef8d4add1077845a4d5a3/height=288;version=1;width=512/https%3A%2F%2Fzakupika.com%2Fwp-content%2Fuploads%2F2018%2F06%2F1531_ic.png)
パスワードの管理において、「PolyPassHash」と呼ばれる新しい管理手法が提案された(slashdot、論文PDF)。 この手法が提案通りに機能するならば、個別のパスワードを対象としたクラッキングがほぼ無効化されるようだ。またサービスを利用するユーザー側でなにかを変更する必要はなく、パスワードを保存・管理する側(サービス提供側)でこの手法を採用すればいいだけとのこと。 すでにCおよびPythonによる実装も公開されている。 安全性の高さの説明として、「6文字のランダム文字列のパスワードが3アカウント分あったとして、salt+なんらかのhashで保管されている場合は3つのパスワードすべてをクラックするのに1台のノートPCで1時間ほどの時間しかかからなかったが、 PolyPassHashで保管した場合は地球上の計算機資源をすべて使って宇宙の終わりまでアタックしてもクラックされることはない
いかにしてパスワード認証を脆弱にするか。プログラミング黎明期からずっとデベロッパーの頭を悩ませ続ける問題です。 ここでは脆弱なパスワード認証を実現するための方法を紹介します。 パスワード自動入力の禁止 不届きなブラウザがパスワードを記憶してしまうことがあります。 パスワードは間違いの無いように、ひともじひともじ、人間が入力するべきです。 <input name="pw" type="password" autocomplete="off" /> とするのは常識ですね。ブラウザのパスワード管理機能より、脳内の文字列の方がずっと安心です。 フォームを動的生成、AjaxでPOST cursor: textスタイルで偽input などで、ブラウザのパスワード保存をスキップする方法もあります。 パスワード貼り付けの禁止 貼り付けも自動入力と同罪です。onpaste属性を利用して <input nam
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く