23/10/24 21:44:18.08 qwiU2Cl+0.net
↑いまだにWinNT使ってそう(笑)
265:名無しさん@お腹いっぱい。
23/10/24 22:10:25.14 3sJ9hugo0.net
釣れるの早すぎて草
266:名無しさん@お腹いっぱい。
23/10/24 23:29:59.15 MlPzaF810.net
>>122
2018年時点で存在したアカウントでは12文字以上に変更する必要がなかった
イテレーション数も5000のまま使えてたらしい
URLリンク(krebsonsecurity.com)
267:名無しさん@お腹いっぱい。
23/10/25 12:17:53.29 uJq6ei9v0.net
>>257
ブルートフォースに突破されるような文字数のマスターパスワード使ってるからだろ
オレは20桁以上3ヶ月で更新してる
覚えてないけど
268:名無しさん@お腹いっぱい。
23/10/25 12:35:00.92 ccKZU1iS0.net
>>263
3ヶ月で更新するメリットってある?
269:名無しさん@お腹いっぱい。
23/10/25 12:50:52.54 Ln7Kf8H/0.net
頻繁な更新は~って話があって逆効果かも知れないけど
パスワード管理は好き好きだと思う
270:名無しさん@お腹いっぱい。
23/10/25 12:58:00.60 4MrkIZYk0.net
ブルートフォースなんて実際にできるもんな�
271:ナすかね? 雑なサイトもあるのかもしれないが 総当たりで試行できる回数なんてたかがしれているような
272:名無しさん@お腹いっぱい。
23/10/25 13:11:16.00 IxZrj74O0.net
>>264
20桁以上でも時間が経てば突破されるリスクはあるからな
273:名無しさん@お腹いっぱい。
23/10/25 13:14:28.60 HypXbwN20.net
>>265
更新時の操作をハッキングする手口は高度な技術レベルが必要
それを使ってまでしても盗み出したいものがしまってなければやらないよね
274:名無しさん@お腹いっぱい。
23/10/25 13:16:32.56 HypXbwN20.net
学生時代、クラックツールを作ってその中にトロイ忍ばせて遊んでた懐かしい思い出
275:名無しさん@お腹いっぱい。
23/10/25 14:05:26.69 laSl0vG40.net
>>266
Web画面でやるわけじゃなくて
たいていはサーバーにあるパスワードのデータ(全員分のハッシュされたパスワードのリスト)が盗まれて
そのリストに対してブルートフォースアタックするのさ
276:名無しさん@お腹いっぱい。
23/10/25 14:26:04.29 4MrkIZYk0.net
>>270
総当たりで試行し生成されたパターンがそのハッシュと一致するまでやるということかな?
なるほど
リストが盗まれやすいかどうかという点ではユーザ側で気を付ける話じゃないね
277:名無しさん@お腹いっぱい。
23/10/25 16:47:48.02 ccKZU1iS0.net
>>267
総当たり攻撃なら、途中でパスワードを変えても確率は変わらないと思うのだけど
278:名無しさん@お腹いっぱい。
23/10/25 16:53:48.33 hOOqcEh00.net
リバースブルートフォース攻撃で試行回数制限回避
279:名無しさん@お腹いっぱい。
23/10/25 18:42:45.23 /OO7fWND0.net
一周まわって神頼みでバレない・漏れないことを祈るに落ち着きそうw
280:名無しさん@お腹いっぱい。
23/10/25 19:16:37.51 yYKQZodE0.net
そこで認知症予防の5chですよ
281:名無しさん@お腹いっぱい。
23/10/25 19:20:22.41 z3FCOs1a0.net
プラモ作ってる方がよっぽど認知症予防になるだろ
282:名無しさん@お腹いっぱい。
23/10/25 19:44:43.32 dVP0LeF90.net
>>272
>>270みたいな流出したパスワードファイルは永久にアングラで流通し続ける
流出当初は十分に長くて安全なパスワードでもコンピュータが高性能になれば解けるようになる
定期的に変えてれば、そうなった頃には違うパスワードを使ってるので安全
283:名無しさん@お腹いっぱい。
23/10/26 10:05:57.70 3Ciq753S0.net
変えたほうがいいの変えなくてもいいのどっちなんだいっ!?
変ーえー
ないッ!ヤー!!!
284:名無しさん@お腹いっぱい。
23/10/26 13:47:24.20 wkRNVmki0.net
>>278
>>277
みたいな考え方もあるし
総務省の見解だと
URLリンク(www.soumu.go.jp)
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
てのもある
米国の国立標準技術研究所だかの研究結果受けての見解だけど
パスワード管理ソフト使ってると変更に伴うデメリットは無視できそうな話だから変更しまくるのもありっちゃあり
好き好き
285:名無しさん@お腹いっぱい。
23/10/26 13:57:20.46 s6Lb1ave0.net
ハッシュされたパスワードファイルの流出をどこまで視野に入れるかどうかだね
管理がずさんそうな所だけパスワード変更運用をするというのもありかもしれないが
それを適確に絞り込めるのかどうかでまた悩むことになりそうw
286:名無しさん@お腹いっぱい。
23/10/26 15:05:33.87 eeXJSoto0.net
数年後に、実は流出してましたっていうのもあるよね
287:名無しさん@お腹いっぱい。
23/10/26 19:19:37.29 3Ciq753S0.net
まぁサイト側から●●日以上変更されてません!と警告出されたら
うっせ�
288:・わと思いつつ変えてます
289:名無しさん@お腹いっぱい。
23/10/26 19:27:58.79 6wS3HJ3F0.net
半年前の記事
AIによるパスワードの解析時間をセキュリティ会社が公開。8桁なら7時間以内に解析完了
URLリンク(pc.watch.impress.co.jp)
15文字以上なら有意な時間での解析は不可能で数年前にハッシュが流出してても問題無さげ
パスワードの変更もお勧めされてるが情報元を見ても理由が?だけどね
290:名無しさん@お腹いっぱい。
23/10/26 19:32:24.92 s6Lb1ave0.net
>>282
ウチの会社はいつパスワードファイルが流出するかわからないので…
が省略されているものと想定し従うことにします
291:名無しさん@お腹いっぱい。
23/10/27 20:59:10.19 AXe9oeTQ0.net
>>284
難読すぎる
292:名無しさん@お腹いっぱい。
23/10/27 21:28:53.52 MZksXBv60.net
5Gの思考盗聴でイルミナティに流出してるかもしれない
293:名無しさん@お腹いっぱい。
23/10/29 20:01:26.25 6VaYMZwB0.net
>>283
それって解析開始からの時間だけど
すでに何文字目までかは知らんけどデータベース有ると考えてる
データベースにあれば解析ではなく検索で出てくることになる
釣られないことと狙われないことが重要
メアドやアカウントに誕生日入れるような人は狙われるんじゃね
パスにも何らかの馴染みの数字使いそう
294:名無しさん@お腹いっぱい。
23/10/29 20:37:49.66 YogCCy230.net
>>287
えええ、、、
もう少し勉強した方がいいと思うマジで
295:名無しさん@お腹いっぱい。
23/10/30 00:04:50.87 vAYXNQv40.net
>>288
全然おかしくないし当然やってると思うぞ
あるハッシュ値についてそのもとになった文字列(=パスワード)を探そうという時
パスワードをA B C…などと順に仮定して計算したハッシュ値を比較していくよりも
短い文字列やパスワードとして良く使われる文字列すべてのハッシュ値をあらかじめ計算してデータベース化しておき
そこから検索するほうが遥かに早い
296:名無しさん@お腹いっぱい。
23/10/30 00:18:33.25 UBEBV7QD0.net
というのがレインボーテーブル攻撃で
ソルトやストレッチングで対策された
297:名無しさん@お腹いっぱい。
23/10/30 02:56:24.81 VOpNlIzw0.net
「何文字までかは知らんけどデータベース有る」
だったらレインボーテーブルのことだけど
「何文字目までかは知らんけどデータベース有る」
って言ってるから
ソルトやストレッチングも突破できると勘違いしてるだろ
298:名無しさん@お腹いっぱい。
23/10/31 21:51:14.93 +cYCMB010.net
でもマスターパスワードはどえらいもんを設定しませんよね
299:名無しさん@お腹いっぱい。
23/11/01 01:06:39.94 rjE6Q3Q10.net
>>292
パスワードアプリ入ってる端末
今はスマホもPCも指紋なきゃ開かないから
マスターパスもうちょっと入れやすい方が楽かなーと悩む
300:名無しさん@お腹いっぱい。
23/11/01 09:17:54.54 I9MzuxzF0.net
もはやKeePassDXで指紋認証使ってる
301:名無しさん@お腹いっぱい。
23/11/01 14:56:19.81 HAqTpG1j0.net
指紋認証ずっと使ってるけどマスターパスワード忘れそうでこわい
302:名無しさん@お腹いっぱい。
23/11/01 15:51:17.16 s0YDqrsr0.net
うっかりオキシクリーン溶かしたお湯に人差し指入れてつんつんしたら、めちゃくちゃ荒れて指紋認証通らなくなった
治るまで2週間ぐらいかかって不便だったわ
っぱ顔認証よ
303:名無しさん@お腹いっぱい。
23/11/01 16:11:36.02 nzt0Y1YG0.net
手指なんて10本前後あるのだから複数登録しとけばいいのよ
304:名無しさん@お腹いっぱい。
23/11/01 20:26:11.04 E6OR3jVQ0.net
Proton Pass使ってる方いますか?
305:名無しさん@お腹いっぱい。
23/11/02 18:00:14.13 TL7YhkmM0.net
顔認証なぁ
マイナカードのそれはかなりザルに設定されてるとか
スマホはそこまで落ちてはないんだろうけど
306:名無しさん@お腹いっぱい。
23/11/02 20:25:13.63
307:A5jGN82/0.net
308:名無しさん@お腹いっぱい。
23/11/02 22:45:26.20 y0nNmJqV0.net
とあるクラウドシステムの管理コンソールのパスワードが60文字まで可、だったので試しに40文字で設定したらログインできなくなった。
htmlのソースを見たら、設定するときは入力できるが、ログイン画面は最大32文字で制限がかかっていた。
サポートに問い合わせしたら1か月後に修正された。
これまで何年も33文字以上のパスワードを設定したユーザーはいなかったのだろう。
309:名無しさん@お腹いっぱい。
23/11/02 22:57:26.79 e3oWziZr0.net
まぁ、40桁とかツールないと覚えらんないしなw
310:名無しさん@お腹いっぱい。
23/11/02 23:39:21.71 48x572kv0.net
昔8文字を超えるパスワードを設定すると
ログインする場所によって先頭8文字でないとログインできないところと
全部でないとログインできないところが混在して
大変になったことがあったな
311:名無しさん@お腹いっぱい。
23/11/03 01:09:42.89 dKyW0C2/0.net
今は使われてないと思うが、昔のUNIXだとパスワードの保存にDESを使ってたから
何文字入れても 8文字で切られてたな
312:名無しさん@お腹いっぱい。
23/11/03 01:12:29.72 yg1d33T00.net
今でもそんなところがゴロゴロしてる
文字数上限5000兆文字にしろとは言わないからせめて64文字くらいまでは受け入れて上限も明示してくれとは思う
313:名無しさん@お腹いっぱい。
23/11/03 01:36:15.25 tBJc/tgo0.net
仮にパスワードの上限を256文字にしても現代のインターネットなら大した通信料にはならないだろうし。
普通はパスワード自体はデータベースに保存せずにハッシュを保存するから64文字だろうが256文字だろうがデータベースに書き込む容量は変わらない。
たぶんシステムを開発している人はパスワードマネージャーのことを知らなくて、どうせ20文字以上のパスワードを使う人はいないだろうと思って短めに設定してるんじゃないか?
もしくはパスワードの上限を64文字にするとシステムをテストするときに64文字以下のいろんな長さのパスワードでテストしなくちゃいけなくなるから、手間を省くために上限を短くしているのでは。
314:名無しさん@お腹いっぱい。
23/11/03 06:43:08.68 NtbtVSru0.net
単なる仕様の確認漏れや不整合だろ考えすぎだよ
315:名無しさん@お腹いっぱい。
23/11/03 07:58:13.87 faH+uRjM0.net
ようするに8桁以上は実用性ないよな
316:名無しさん@お腹いっぱい。
23/11/03 08:59:48.31 zdhIz8TU0.net
文字数の上限を明示してくれ、に同意
せめて、上限を超えていたらエラーを出してくれ
317:名無しさん@お腹いっぱい。
23/11/03 09:22:47.48 mQByA3f40.net
全サービス2FAを希望します
次回以降この端末では~前提で
318:名無しさん@お腹いっぱい。
23/11/03 14:15:07.68 qmWkb5DA0.net
上限6文字を明示されても困るけどな
(銀行で実在する)
319:名無しさん@お腹いっぱい。
23/11/03 21:45:17.44 TVgt8IGt0.net
Sticky PasswordプレミアムLifetime 85%Off $29.97
URLリンク(jp.colormango.com)
ここから本家に飛ぶとブラックフライデー価格で$39.99てどういうことよ
320:名無しさん@お腹いっぱい。
23/11/04 05:40:52.32 kSagwmro0.net
ドコモのネットワーク暗証番号は今でも4文字の数字
321:名無しさん@お腹いっぱい。
23/11/04 08:02:08.11 CN7IRpDB0.net
>>313
auもそうやで
322:名無しさん@お腹いっぱい。
23/11/04 10:50:55.10 UM8wTj+h0.net
暗証番号は誕生日定期
323:名無しさん@お腹いっぱい。
23/11/04 13:20:15.50 XzQvlKXy0.net
>>313
ソフトバンクも楽天もじゃね?
324:名無しさん@お腹いっぱい。
23/11/04 14
325::57:10.85 ID:++Cb0Fm80.net
326:名無しさん@お腹いっぱい。
23/11/04 15:35:48.10 QiNVorWX0.net
4桁暗証番号は他の認証をした上で重ねての本人確認用途だからな
327:名無しさん@お腹いっぱい。
23/11/04 15:56:29.53 Got/TfBf0.net
メモ
KeePassで二段階認証2FAがプラグイン導入等でできるかどうか調べる中で
Edit Entry(Quick)の中に
OTP(ワンタイムパスワード) Generator Settings
があることを発見して各種サイトで試してみた結果
サポート
X(secret Base32 その他デフォルトのまま)
epic games(secret Base32 その他デフォルトのまま)
二段階認証成功して利用中
作成の時
Time-Based TOTPタブを使う
QRコード表示の下に見れない場合というリンクがあって
それをクリックすると秘密コードが表示されるので
コピペしてshared secret欄に入力するとOTPが表示される
使用時は右クリック時にOther Dataの中にCopy Time-Based OTPがあって選ぶとクリップボードにコピペされる
非サポート
MicroSoft Account
Amazon
Google Account
生成したワンタイムパスワードを入力するが弾かれて成功しない
デフォルト設定から変更する事が必要なのかもしれないが
ググったところではどこをどう変更するのか情報がないようだ
amazonは生成したワンタイムパスワード入力してそこまではできたが
最後のSMS認証で一度キャンセルしてしまって
その後はなんどもトライしたが弾かれてしまうのでおま環の可能性がある
328:名無しさん@お腹いっぱい。
23/11/04 17:13:32.02 HRaXM6/h0.net
>>319
何をしているのかよくわからんが、ms,google,amazonは普通のtotpクライアントであれば既定値で利用できる。
Keepassの標準機能でTOTPが使えるか試したことないけど、プラグインのKeepassOTP使っておけば、secretだけちゃんと登録すればパラメータいじる必要はない。
329:名無しさん@お腹いっぱい。
23/11/04 17:24:40.53 6zE0ZepW0.net
プラグインKeeOtp2でも特に問題なく各種サイトに使えてる
330:名無しさん@お腹いっぱい。
23/11/04 18:50:00.46 Got/TfBf0.net
プラグイン不要のKeePass単体でTime-Based OTPを使った二要素認証ができるということが言いたかった
非サポートのリストに関してはおま環の可能性があって検証できてない
331:名無しさん@お腹いっぱい。
23/11/05 00:36:43.93 fWxCTApf0.net
KeePass本体のTOTP対応は今更だし非サポートという書き方は誤解を招く
332:名無しさん@お腹いっぱい。
23/11/05 10:24:41.08 r3SKxub30.net
まあぼくちゃんは知らんかったけど
333:名無しさん@お腹いっぱい。
23/11/05 23:51:31.25 wqD71kb30.net
やっぱりやりすぎセキュリティさんイチオシのbitwarden一択じゃね
334:名無しさん@お腹いっぱい。
23/11/07 00:50:33.44 mfBc1mya0.net
bitwardenって自ネットのみで使えないの?
335:名無しさん@お腹いっぱい。
23/11/07 01:03:58.08 atjMPsOg0.net
>>326
URLリンク(www.kodaruma.com)
336:名無しさん@お腹いっぱい。
23/11/07 10:13:28.35 Y/eNwsjE0.net
keepassDXのメモ
漢字変換できなくなった
ひらがなで確定した状態でしか入力できない
11/06の夕方までは漢字変換できた
337:名無しさん@お腹いっぱい。
23/11/08 00:17:23.89 OK5ZhkF40.net
>>327
有難うございます。でもドメインが必要??
338:名無しさん@お腹いっぱい。
23/11/08 06:45:51.10 mVIkTIZv0.net
自ネットってどういう意味なんだろ
339:名無しさん@お腹いっぱい。
23/11/08 06:49:51
340:.94 ID:vQu0AKG30.net
341:名無しさん@お腹いっぱい。
23/11/08 18:14:21.83 Tlqajpw20.net
Password Exporter使っておったんですが
新しいfirefoxでは使えなくなっているのですが
乗り換え先のアドオン教えてください
342:318
23/11/10 01:53:17.50 NDo0Ngfn0.net
>>321でKeeOtp2なら使えているということで検証してみた
プラグインなし状態のkeepassのみで2段階認証ができなかった件の検証と結果
対象はアマゾン
検証
プラグインKeeOtp2使用時出力されるトークンを比べてみたら違っていた
QRコードの下の読みこめない場合を選択すると
シークレットキーが表示されるがそのままコピペして
Base32を選び
貼り付けたら赤背景で不正な入力扱いされる
そこで4文字ごとに入っているスペースをすべて消すと
赤背景が消え入力を受け付けて
なおかつkeeOtp2と出力トークンが一致した
結果
アマゾンでプラグイン無しのKeePassのみの2段階認証でログインできている
検証してないがグーグルアカウントやマイクロソフトアカウントでも
大丈夫だろう
Base32を選びスペースをすべて削除したシークレットキーを入力すること
343:名無しさん@お腹いっぱい。
23/11/10 10:56:42.57 9kGJb50V0.net
>>333
Keepassの標準のTOTP機能だと、secretの文字列にスペースが含まれていた時に、それを無視しせずに、入力値エラー扱いになるってことね。
Base32なんだから、空白をそのまま入力してもそれは駄目だと思うけど、他のtotpクライアントだと、スペースを勝手に無視してくれるからね。
わからんと嵌る罠。
なお、Base32はデフォルト値なので、わざわざ選ばなくて良さげ。
344:名無しさん@お腹いっぱい。
23/11/10 15:11:41.46 HwhbelN80.net
キーの入力時に赤色になって弾かれるんでしょ
どこに罠があるの
345:名無しさん@お腹いっぱい。
23/11/10 18:25:50.62 9kGJb50V0.net
>>335
>>319みたいに、何が間違っているのかわからん人がでてくるってこと。
346:名無しさん@お腹いっぱい。
23/11/11 09:22:05.20 b/takZ7g0.net
>>328
自己レス
11/10のアプデで解消された👍
347:名無しさん@お腹いっぱい。
23/11/12 10:09:44.26 yQxR44V20.net
>>333
追加検証結果
マイクロソフトアカウント
シークレットキーが英小文字+空白付きのため赤背景
大文字に変換して空白を削除することによって2段階認証成功
グーグルアカウントは試してみたけどグーグルからのメッセージで2段階認証するので
TOTPはサポート外?ということでいいのかな
348:名無しさん@お腹いっぱい。
23/11/12 10:43:45.55 uyXFB0iA0.net
>>338
対応してる。
ただ、1つ目の二段階認証手段としては、sms,通話、セキュリティキー、ログイン済みスマホでの承認みたいに限定されていて、それらの内、一つを登録すれば、TOTPが使えるようになる。
349:名無しさん@お腹いっぱい。
23/11/12 18:05:59.54 Ss/ujLtZ0.net
TlKTOK LiteでPayPayやAmazonギフトなどにチェンジ可能な4000円分のポイントをプレゼント中!
※既存TlKTOKユーザーの方はTlKTOKアプリからログアウトしてアンインストールすればできる可能性があります
1.SIMの入ったスマホ・タブレットを用意する
2.以下のTlKTOK Liteのサイトからアプリをダウンロード(ダウンロードだけでまだ起動しない)
URLリンク(lite.tiktok.com)
3.ダウンロード完了後、もう一度上記アドレスのリンクからアプリ起動
4.アプリ内でTlKTOK未使用の電話かメールアドレスを使用して登禄
5.10日間連続チェックインで合計で4000円分のポイントゲット
ポイントはPayPayやAmazonギフト券にチェンジ可能です!
家族・友人に紹介したり通常タスクをこなせば更にポイントを追加でゲットできます。
350:名無しさん@お腹いっぱい。
23/11/12 18:33:29.62 L/0g7yxE0.net
>>340
こういう方法もあるんだな
351:名無しさん@お腹いっぱい。
23/11/13 05:50:37.33 0PG5xiWJ0.net
ステマは法律で禁止されたけど海外にいる人まで逮捕できないからステマし放題なのか。
352:名無しさん@お腹いっぱい。
23/11/13 08:06:03.94 MDT2eT5n0.net
>>342
罰せられるのはステマをさせた業者の方だよ
353:名無しさん@お腹いっぱい。
23/11/13 08:14:31.75 0Y7zqNsg0.net
よく間違ってる人がいるけど
ステマ禁止法にはステマをさせた企業に対する罰則はあるけどステマした個人にはないよ
だから5ch運営がTIKTOKにやめさせるようにクレームを入れればいいだけ、TIKTOK側でBANしてもえたらメシウマ
無視されたら色々すっとばして警察でもいいんじゃね
354:名無しさん@お腹いっぱい。
23/11/13 09:46:04.42 ZpHr0vpt0.net
>>344
ただTikTok自体は広告代理店にぼかした言い方で指示していてステマしろとは言ってないだろう
その下請けやそのまた下請けが勝手に突っ走ったことになってるだろうな
355:名無しさん@お腹いっぱい。
23/11/14 17:58:32.19 qr8HGroK0.net
これでええだろ
URLリンク(i.imgur.com)
356:名無しさん@お腹いっぱい。
23/11/15 07:59:59.69 LA/Xdl5I0.net
絵絵
357:名無しさん@お腹いっぱい。
23/11/15 19:26:01.47 B9+rJ9TA0.net
こっちにしてみた
URLリンク(i.imgur.com)
358:名無しさん@お腹いっぱい。
23/11/18 12:00:36.98 3uUWIK3I0.net
使ってはいけないパスワード2023年版、第1位発表
URLリンク(news.mynavi.jp)
こういうのって放置パスワードなのかと思ってたけど
順位変動有るって事は使っててコレなんだな
ホラーだわ
359:名無しさん@お腹いっぱい。
23/11/19 11:44:28.52 hj4luLpJ0.net
生年月日安心安全説
360:名無しさん@お腹いっぱい。
23/11/21 20:18:23.32 imQDPxlA0.net
>>349
11番目、うんこ自身に空目した。自虐かなと思ったら、unknownだった。
361:過去ログ ★
[過去ログ]
■ このスレッドは過去ログ倉庫に格納されています