[Tokyo.pm] Re: 簡単なパスワードジェネレータって

[Tetsuya Ryuchi]

  りゅうちです

> 最初の文字だけ英字でないとパスワードという感じがしません。
> １００個作成して、脆弱性の試験をかけるというシナリオです。

  これって、脆弱性の試験になっていない気がしますが... 私の勘違いでしょうか?
  # パスワードの脆弱性とは なんであるか? って議論が発生しそうですが...

  任意に生成されたパスワードと偶然一致したから脆弱であると言われても
困ると思うのです。 通常パスワードは ある特定の文字列の並びでしか過ぎず、
それは、ランダムに抽出した文字列と一致する確率は x種類の文字から y文字
使うと 1/(P x, y) ですよね? P x,y は順列(だったけ?)

  なんの規則性もなく ランダムに抽出されたパスワードに一致しても、それは
どんなパスワードにも等しく存在する偶然の一致なので、これをもって脆弱と
いうのは乱暴だと思います。(本当に乱数なら)次にテストしても一致すること
はないはずです。
  (ちなみに 松本さんのスプリクトは擬似乱数の種を作り直していないので、
生成されるパスワードは毎回同じ?)

  私が思うに脆弱性のテストは 本人や家族などのプロフィール(生年月日、
住所、電話番号など)や、既存の辞書、その他 日常的に使われる単語などから
パスワードを生成してチェックするのが 脆弱性のテストだと思うのですが。

(龍)
--
# From Tetsuya Ryuchi <ryuchi@[ryuchi|fmclub|bsdclub|inet6].org>
#                         Powered By FreeBSD,  IPv4 and IPv6 Ready!