Scribble at 2024-12-06 12:04:52 Last modified: 2024-12-07 08:29:30

「パスワードの改良」という表現では意味不明だが、ともかくそういう解釈もあるのだろう。ちなみに、ロバート・モリスとケン・トンプソンが書いた論文については、当サイトで解説を書いたことがある。

「パスワード・セキュリティ：或る対策の歴史に学ぶ」（https://www.markupdancing.net/archive/20160314.html）

YomoYomo 氏の記事によると、モリスとトンプソンらの「間違い」は、一つが文字種を増やすことを推奨したことで、もう一つはパスワードをハッシュ化して保存することだという。しかし、僕はこの見立てには反対だ。昨今のパスワード管理について言われている反論は、あくまでも定期的に変更することだけに限られていて、文字種の複雑さよりも桁数の大きさが有効であるという明白な根拠はないはずだ（というか、桁数が多ければ多いほどよいなんて自明でしかない）。したがって、彼ら二人の提案が直に否定されているわけではない。しかも、ハッシュ化したことで実態調査が難しくなったなどと言うが、研究のしやすさなんて、認証情報を守るという現実の価値に比べたらカスみたいなものだ。実際、上の記事のネタ元であるシュナイアーのブログでも、パスワードのハッシュ化は間違っていないというコメントが幾つか加えられている。

それはそうと、ネタ元であるシュナイアーのサイトでコメントを二重投稿してるひとが結構いるんだけど、コメントしてる人ってセキュリティのエンジニアというか実務家だろう。なんでこんな無様なことをしているのだろう。あるいはシュナイアーの CMS が何を使ってるか知らないけれど、何かの脆弱性があるんだろうか。