4
Your Password is Too Damn Short (blog.codinghorror.com)
haocheng 積分 1

想到之前聽過很妙的一個 KKTIX bug,有用戶說他在手機上輸入 50 個字元的密碼會有問題,雖然用 LastPass/1Password 產生密碼長一點也無妨,不過有必要用到 50 個字嗎... =_=

negaihoshi 積分 2

他會怕吧 XD 撇開複雜度不談 12 字應該就很多了

haocheng 積分 1

我都產生 16 個字元的密碼而已...

negaihoshi 積分 1

你遇到只能 8-12 的網站要怎麼辦 就像我碰到不能用特殊符號的網站就還得改密碼一樣XD

haocheng 積分 0

LastPass 在產生密碼的時候可以選長度啊,也可以選要不要包含特殊字元,所以就根據情況來決定囉

kaif 積分 0

btw, 我很好奇aws要如何保密他的secret key,因為他的signing演算法,在server side是必須保存明文的secret key的,沒辦法做one way hash。

IngramChen 積分 1 編輯於

可能是 db (or disk) 本身再用另一個 key 加密...

qrtt1 積分 0
kaif 積分 0

sorry沒說清楚。我有疑問的是,一般密碼加密,是作one way hash,即使密碼檔流出也很難破解(就是這篇在說的)。但對aws來說,密碼檔一外流就完蛋了!

qrtt1 積分 0

適當的方法是要用 AWS Security Token Service1 取得暫時的 key,過期前再重取,不過推測它的 token 產生是 strong consistency 的,所以效率比一般 api access 慢,暫時的 key 最長可以活 1 小時,可以下參數縮短它