哈啦閒聊的時刻 /z/compiling
4
Your Password is Too Damn Short (blog.codinghorror.com)
11 則討論 haocheng 張貼於

haocheng 積分 1

想到之前聽過很妙的一個 KKTIX bug,有用戶說他在手機上輸入 50 個字元的密碼會有問題,雖然用 LastPass/1Password 產生密碼長一點也無妨,不過有必要用到 50 個字嗎... =_=

回應

negaihoshi 積分 2

他會怕吧 XD 撇開複雜度不談 12 字應該就很多了

回應

haocheng 積分 1

我都產生 16 個字元的密碼而已...

回應

negaihoshi 積分 1

你遇到只能 8-12 的網站要怎麼辦 就像我碰到不能用特殊符號的網站就還得改密碼一樣XD

回應

haocheng 積分 0

LastPass 在產生密碼的時候可以選長度啊,也可以選要不要包含特殊字元,所以就根據情況來決定囉

回應

kaif 積分 0

btw, 我很好奇aws要如何保密他的secret key,因為他的signing演算法,在server side是必須保存明文的secret key的,沒辦法做one way hash。

回應

IngramChen 積分 1 編輯於

可能是 db (or disk) 本身再用另一個 key 加密...

回應

qrtt1 積分 0

signing 沒有送 secret key 啊,只有送 key id 才對 Signing and Authenticating REST Requests1

1
http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html
回應

kaif 積分 0

sorry沒說清楚。我有疑問的是,一般密碼加密,是作one way hash,即使密碼檔流出也很難破解(就是這篇在說的)。但對aws來說,密碼檔一外流就完蛋了!

回應

qrtt1 積分 0

適當的方法是要用 AWS Security Token Service1 取得暫時的 key,過期前再重取,不過推測它的 token 產生是 strong consistency 的,所以效率比一般 api access 慢,暫時的 key 最長可以活 1 小時,可以下參數縮短它

1
http://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html
回應