ブログ
パスワードとセキュリティ、そして私たちが教わったことのほとんどが誤りだった理由について。
パスワードが流出したあと、本当に起きていること
パスワードは流出して消えるのではない。流出して、そこから出回りはじめる。時間をかけて解析され、他のリストと結合され、誰かがあなたの銀行で試すコンボリストに収まる。それを価値あるものにしたのは、弱かったことではない。同じだったことだ。
ハッシュ、ソルト、bcrypt、Argon2:まともなサイトがあなたのパスワードにしていること
通してもらえるたびに、誰かが何かを照合している。だが照合することは、知っていることではない。パスワードを保存しないやり方をどう学んだか。そして、それを守る関数がなぜ意図的に遅く——そして高く——なければならないのか。
あなたのパスワードは、本当のところ何分で破られるのか
「三百万年かかります」と言ってくるサイトは、方程式の半分を隠している。まったく同じパスワードが、片方のサイトでは何世紀も持ちこたえ、もう片方では昼食前に落ちる。決めているのはあなたが選べない値で、誰も教えてくれない。その数字の裏側の話。
Diceware:サイコロはあなたより上手にパスワードを作る
人に「適当な単語を」と頼んでも、返ってくるのは適当な単語ではない。その人の単語だ。Arnold Reinhold は 1995 年、5 個のサイコロと 7,776 語のリストでこれを片づけた。この発明の妙は、サイコロには好みも記憶も、今日の機嫌もないところにある。
エントロピーのビットとは何か、そしてなぜ「強度○%」を出さないのか
「強度92%」には意味がありません。到達すべき100%など存在しないからです。ビットのほうは、いつでもきっちり同じことを意味します。1ビット増えるたびに攻撃側の手間は倍になる。だから40ビットは20ビットの2倍ではなく、100万倍です。