[Tokyo.pm] Re: 簡単なパスワードジェネレータって
Tetsuya Ryuchi
ryuchi @ ryuchi.org
2002年 11月 29日 (金) 01:24:30 CST
りゅうちです
> 最初の文字だけ英字でないとパスワードという感じがしません。
> 100個作成して、脆弱性の試験をかけるというシナリオです。
これって、脆弱性の試験になっていない気がしますが... 私の勘違いでしょうか?
# パスワードの脆弱性とは なんであるか? って議論が発生しそうですが...
任意に生成されたパスワードと偶然一致したから脆弱であると言われても
困ると思うのです。 通常パスワードは ある特定の文字列の並びでしか過ぎず、
それは、ランダムに抽出した文字列と一致する確率は x種類の文字から y文字
使うと 1/(P x, y) ですよね? P x,y は順列(だったけ?)
なんの規則性もなく ランダムに抽出されたパスワードに一致しても、それは
どんなパスワードにも等しく存在する偶然の一致なので、これをもって脆弱と
いうのは乱暴だと思います。(本当に乱数なら)次にテストしても一致すること
はないはずです。
(ちなみに 松本さんのスプリクトは擬似乱数の種を作り直していないので、
生成されるパスワードは毎回同じ?)
私が思うに脆弱性のテストは 本人や家族などのプロフィール(生年月日、
住所、電話番号など)や、既存の辞書、その他 日常的に使われる単語などから
パスワードを生成してチェックするのが 脆弱性のテストだと思うのですが。
(龍)
--
# From Tetsuya Ryuchi <ryuchi@[ryuchi|fmclub|bsdclub|inet6].org>
# Powered By FreeBSD, IPv4 and IPv6 Ready!
Tokyo-pm メーリングリストの案内