www.textfile.org RSSフィード

2007-04-20

Twitterとソーシャルハッキング

あるサイトのパスワードを別サイトに渡すという話題。

「いちいち異なるパスワードにするのは現実的でないからなぁ。」と書かれていますが、みなさんパスワードって頭で覚えているんでしょうか。結城はサイトごとに別のパスワード使っていますね。頭で記憶できるパスワードはもともと安全ではないと思っているので、適当なメッセージダイジェスト関数を使って作ったランダム文字列をメモしています。

たとえば↓のようなの(実際に結城が使っているものではありません)。

C:\work> type make_password.pl
use Digest::SHA1 qw(sha1_base64);
print sha1_base64(<STDIN>);

C:\work> perl make_password.pl
jw9834i5jgkjrehtwertoi                  ←適当に長くタイプする
asdf;lakuprowqiuerpotqet
aslkfj;iyupoygiuyoiu
uyoiuyetwetrwoup8345ujkadsf
asdflakjds;flaskdf
^Z
EZqchUXfG6aU91eTtNQaIYXnDIs             ←作られたパスワードもどき

現在時刻を混ぜたり、自分が持っている秘密ファイルの内容を混ぜたりするとベター。

追記:

追記:

弾さんがJavaScriptでパスワードを作っていますけれど、この場合にはブラウザのMath.random()を信用していることになりますね。具体的には「乱数の種の予測困難さ」と「アルゴリズム」を。JavaScriptのrandomって暗号学的に安全なのでしたっけ。