[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

734users がブックマーク コメント 118

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

総当たり攻撃時のパスワード最大解読時間の表(by 上野宣)について分析した - Qiita

734 users qiita.com/ockeghem

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント118

  • 注目コメント
  • 新着コメント
オーナーコメントを固定しています
ockeghem
オーナー 上野宣さんが示したパスワード総当りの表はMD5を前提とするものであることがわかりました

その他
aroechan
"何ですかね?パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。"こう言う返しをする大人にはなりたくないと常々思ってる。何もわからずに乗っけてるって言ってるようなもん

その他
diffie
こんな人がサイバーセキュリティ会社なんかやってるの。言うに事欠いて「色んなコメント付いたけど、パスワード見直そうかなって人もいたのでよかった」だって。よくねぇよ。

その他
aike
前提条件を書かない上野氏は不誠実だけど、翻訳元のreddit記事も不誠実で、その元になったghacksの2012年の記事も不誠実で、計算に使用したhowsecureismypassword.netも不誠実。

その他
oreonita
元嫁に8桁のパスワードを破られエロ動画フォルダを漁られてから24桁のパスワードで運用している俺は腹落ちした

その他
WinterMute
サイバーセキュリティの会社トライコーダというのはウェブ上に有害な情報を流すことで不安を煽る商売をするところなのでしょうか

その他
saikyo_tongaricorn
あのイキッた翻訳図でも順番に考えてくとここまで導き出せるのすごい

その他
wats2012
徳丸先生のツイートを引用してる記事だと思ったら、徳丸先生本人が書いてたw / それにしてもグラボってそんなに速いの?10^11のループが2秒で回せるとかマ?

その他
sisya
前提条件もともかく、そろそろ8桁パスワードなど設定しているサービスは炎上してしまうような時代が訪れて欲しいと思う。IE6並に問題のある文化だと思っている。

その他
Hamachiya2
8文字パスワードが秒で破られるって話題だけど、暗号化されたものが漏れて手元にある状態で総当たりされるケースだし、気の利いたシステムはパスワードに別の文字列を加えて暗号化してるからそこまで単純じゃないよ

その他
オーナーコメントを固定しています
ockeghem
オーナー ockeghem 上野宣さんが示したパスワード総当りの表はMD5を前提とするものであることがわかりました

2021年08月18日 リンク

その他
YassLab
"結論: ... 現在の技術水準ではMD5によるハッシュ保存は否定されており、bcryptなど安全なパスワード保存方法が推奨されます。そして、bcrypt等を使う前提では、8桁パスワードは絶対だめとまではいえません。"

その他
skypenguins
徳丸氏の内容は有益だが、最初にツイートした内容は「議論が深まっ太郎」だな

その他
Nyoho
"上野さんの紹介したパスワード総当りに要する時間の表は、MD5ハッシュで保存したパスワードの総当りに要する時間を示したもの"

その他
tmatsuu
事業者側はパスワード用ハッシュアルゴリズムをちゃんと採用しましょうね。ユーザー側は、事業者がどんなハッシュアルゴリズムを採用してるかわからんから念の為できるだけ長いパスワードを設定しましょうね。

その他
igrep
パスワードハッシュにMD5使うサービスもなくなって欲しいですね。移行するの大変でしょうけど...

その他
akymrk
"表は、MD5ハッシュで保存したパスワードの総当りに要する時間を示したものでした""現在の技術水準ではMD5によるハッシュ保存は否定されており、bcryptなど安全なパスワード保存方法が推奨されます"

その他
kappaseijin
"この表はパスワードのハッシュ値(MD5)が漏洩した後、ハッシュ値からパスワードを復元するのに要する時間です。" "bcryptというアルゴリズムの計算速度を調べると""32426956分(61年8ヶ月)となります。"

その他
shidho
ところで、使っているサイトがパスワード保存にどのハッシュを使っているかはどうやって調べればいいのかしら。わからない場合はMD5前提とするしかないのでは? (平文保存していたサイトの過去は見なかったことにする)

その他
mas-higa
"GPUによるハッシュ総当り業界" とは

その他
d6rkaiz
すごく久しぶりな「また上野宣か」事例

その他
asdfjkl12345
ネットでの適当な放言に対して、専門家が詳細を調べたうえで対応についてまで述べた記事。すごく参考になるので読めてよかった

その他
yosukeman
徳丸さんってすごいね、しょっちゅう人の書いた本とか、他人のツイートの間違い探しをしていて、さらにそれを晒し上げて自分のコンテンツに引き込むって宣伝方法を確立している。

その他
youichirou
確かにあのツイートだけではなんの総当たりなのかわからなかったが、MD5だったのか。

その他
dollarss
ockeghem ←この文字列を見たら警戒せよ(いい意味でプロ目線です)

その他
yamadar
徳丸先生だ。ありがとうございます。/不完全な情報が補完されて知識となっていく様子。

その他
knok
他人の作った資料を深く考えずに紹介というのは見る側も気をつけないとなあ.../さすがに2080 TX x448は個人で用意できないな

その他
mumei-0
"この表はパスワードのハッシュ値(MD5)が漏洩した後、ハッシュ値からパスワードを復元するのに要する時間です。"

その他
gfx
bcryptの場合8桁でも瞬殺とはかぎらないということだけど、サービス側の実装は検証できないし、パスワードジェネレータで長いパスワードを生成するのが最善というのは変わらなそう。

その他
mkusunok
ストレッチしたSHA-2やbcryptであればもっと時間かかるしソルトとかまで考えるともうちょっと難しい。だが今でもソルトなしMD5が生き残ってたりもするので用心は必要だけど

その他
ikayome
素人質問ですみませんが。で殴ってくるやつだ!!!!

その他
itochan
データじゃなくて、意味を付け加えた情報をってこと?

その他
tsubosuke
ありがたい。表を見て、どういうやり方の解読時間なんだろうとは思ったけど、調べるまではしてなかったし、普通はそんな時間ないので信じてしまう人も多いと思う。

その他
taruhachi
bcrypt優秀だなぁ。。。CPUリソースを奪う事と同値ではあるけど。

その他
srng
今時そんなアクセス弾くだろと思ったらハッシュからの復元か。ユーザーが気にするレイヤーの話ではないと思う。今も昔も使いまわしの漏洩パスワードの被害ばかりだし、気を付けるべきはそこだけ

その他
tonocchokun
haskには、魚を運ぶ籠という意味があるので、多分hashが入っているストレージみたいな意味で使ってるのかも知れない。hashと引っ掛けたちょっとしたダジャレ的なものなのかなあ?なんで一文字目を大文字にしたのかは不明

その他
shepherdspurse
なんやよく分からんけど、併せて読んどく

その他
taguch1
md5使ってるphpのサイトはまだたくさんあると思うよw

その他
takuya_1st
なるほど、要は、「また上野か。」の、ひとことで済むわけだ。

その他
BlueSkyDetector
結局bcryptで72文字制限にするのがいいという理解。73文字以上は対応しない方が良さそうだし。 https://blog.tokumaru.org/2019/02/caution-bcrypt-with-sha512.html

その他
zzzbbb
上野さん、追記で「謝ってる」と呟いてるけど、だったら元ツイ消しなよって思う。単にバズって嬉しいだけじゃん。こういう輩が1番迷惑なんだよね。

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「総当たり攻撃時の...」が注目されています。

気持ちをシェアしよう

ツイートする

総当たり攻撃時のパスワード最大解読時間の表(by 上野宣)について分析した - Qiita

昨日、上野宣(@sen_u)さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています... 昨日、上野宣(@sen_u)さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。 総当たり攻撃時のパスワード最大解読時間の表を日語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。 何ですかね?パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃(ブルートフォースアタック)というと、以下の二通りが考えられます。 ウェブサイト等でパスワードを順番に試す

ブックマークしたユーザー

  • kawasin732023年08月30日 kawasin73
  • randynet2023年08月18日 randynet
  • YassLab2023年08月17日 YassLab
  • juser2023年08月17日 juser
  • saken6492023年08月17日 saken649
  • nantokashitaize2023年08月17日 nantokashitaize
  • mizdra2023年08月16日 mizdra
  • nori-tech2023年08月16日 nori-tech
  • t_f_m2023年08月16日 t_f_m
  • skypenguins2023年05月09日 skypenguins
  • techtech05212023年04月26日 techtech0521
  • ikesyo2023年04月12日 ikesyo
  • hikabu2022年08月03日 hikabu
  • Nyoho2022年07月30日 Nyoho
  • nishitki2022年06月26日 nishitki
  • acvxxxzzz2021年10月02日 acvxxxzzz
  • heatman2021年09月18日 heatman
  • atuminc2021年09月14日 atuminc
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /