Your Password is Too Damn Short
(blog.codinghorror.com)
haocheng
積分 1
想到之前聽過很妙的一個 KKTIX bug,有用戶說他在手機上輸入 50 個字元的密碼會有問題,雖然用 LastPass/1Password 產生密碼長一點也無妨,不過有必要用到 50 個字嗎... =_=
kaif
積分 0
btw, 我很好奇aws要如何保密他的secret key,因為他的signing演算法,在server side是必須保存明文的secret key的,沒辦法做one way hash。
qrtt1
積分 0
signing 沒有送 secret key 啊,只有送 key id 才對 Signing and Authenticating REST Requests1
kaif
積分 0
sorry沒說清楚。我有疑問的是,一般密碼加密,是作one way hash,即使密碼檔流出也很難破解(就是這篇在說的)。但對aws來說,密碼檔一外流就完蛋了!
qrtt1
積分 0
適當的方法是要用 AWS Security Token Service1 取得暫時的 key,過期前再重取,不過推測它的 token 產生是 strong consistency 的,所以效率比一般 api access 慢,暫時的 key 最長可以活 1 小時,可以下參數縮短它