「16文字以内で最強のパスワード」を考えてみた結果がなんか恐ろしいのだけどここがダメなところも致命的「攻性防壁かな」
- atomgn2911
- 41049
- 25
- 16
- 10
「16文字以内で最強のパスワード」を考えてみた。 ';--\t:․\n,"\0}`|@ ここが凄い! ・エクスポート時の流失防止機能 SQL→ ';--によるDB破壊 CSV→ \t\n,によるファイル破壊 コマンド→ |による構文破壊 ・総当たり防止機能 2byte文字や特殊文字を混在 ここがダメ! ・Twitterで公開してしまった
2023-04-21 20:48:57ハッシュ化されていると破壊効果がなくなりますが、総当たり防止機能は引き続き使える上、漏洩したとしても平文のパスワードが流失することはありません。
2023-04-21 21:00:20これはいいな!
@ActiveTK5929 ハッシュで保存されてると確かにうーんだけど作りの甘い偽サイトとかデバイス側で入力値をキャプチャされたりした時は効果あり? シレッとnull文字も入ってたり破壊力高い
2023-04-22 14:41:27なるほど、平文の安易な漏洩防止か。 まともなシステムでの扱いには影響なさそうだけれども雑に扱うと変なことが起きそう、というコンセプトは良いかも。 twitter.com/ActiveTK5929/s…
2023-04-22 07:27:10何がヤバいの?
@Maromezaaaa @ActiveTK5929 家の鍵を何にしようか迷ってダイナマイトを選ぶ感じ 家の強度が弱いと鍵どころか家ごと吹き飛ぶ威力
2023-04-22 13:32:20@Maromezaaaa ①DB(データを入れる箱)はSQL(言語)で命令できる、パスワード流出時に悪い人のDBを破壊する呪文。 ②csv(ファイル形式)では「\t\n」は改行を意味する。パスワードをcsvで保存すると勝手に改行されてわからなくなる。 ③全角文字や記号があると総当りで調べると時間がかかる。
2023-04-22 05:05:06@Maromezaaaa @ActiveTK5929 各種パスワードを扱いそうな機能でプログラマー初心者が生みがちなセキュリティ脆弱性を突いたものです。 ちゃんとしてるシステムならこんなんで破壊なんてされないので、これで破壊されるようならパスワードを預けるのにふさわしくないシステムだったということ…あたりが意図だと思います。
2023-04-22 10:49:06入力できないのでは
これらの記号を使えたら良いけど、大抵は半角英数字と@や.ぐらいの記号しか使えないから、バリデーションエラーで弾かれそう… twitter.com/ActiveTK5929/s…
2023-04-22 04:43:25