Your Password is Too Damn Short | 哈啦閒聊的時刻

Your Password is Too Damn Short (blog.codinghorror.com)

11 則討論 haocheng 張貼於 9 years ago

haocheng 積分 1

想到之前聽過很妙的一個 KKTIX bug，有用戶說他在手機上輸入 50 個字元的密碼會有問題，雖然用 LastPass/1Password 產生密碼長一點也無妨，不過有必要用到 50 個字嗎... =_=

回應 9 years ago

negaihoshi 積分 2

他會怕吧 XD 撇開複雜度不談 12 字應該就很多了

回應 9 years ago

haocheng 積分 1

我都產生 16 個字元的密碼而已...

回應 9 years ago

negaihoshi 積分 1

你遇到只能 8-12 的網站要怎麼辦就像我碰到不能用特殊符號的網站就還得改密碼一樣XD

回應 9 years ago

haocheng 積分 0

LastPass 在產生密碼的時候可以選長度啊，也可以選要不要包含特殊字元，所以就根據情況來決定囉

回應 9 years ago

haocheng 積分 2

另外，之前都用 bcrypt，現在比較新的好像是 scrypt? Is bcrypt better than scrypt1

回應 9 years ago

kaif 積分 0

btw, 我很好奇aws要如何保密他的secret key，因為他的signing演算法，在server side是必須保存明文的secret key的，沒辦法做one way hash。

回應 9 years ago

IngramChen 積分 1 編輯於 9 years ago

可能是 db (or disk) 本身再用另一個 key 加密...

回應 9 years ago

qrtt1 積分 0

signing 沒有送 secret key 啊，只有送 key id 才對 Signing and Authenticating REST Requests1

回應 9 years ago

kaif 積分 0

sorry沒說清楚。我有疑問的是，一般密碼加密，是作one way hash，即使密碼檔流出也很難破解（就是這篇在說的）。但對aws來說，密碼檔一外流就完蛋了！

回應 9 years ago

qrtt1 積分 0

適當的方法是要用 AWS Security Token Service1 取得暫時的 key，過期前再重取，不過推測它的 token 產生是 strong consistency 的，所以效率比一般 api access 慢，暫時的 key 最長可以活 1 小時，可以下參數縮短它

回應 9 years ago

Kmark 是一個類似 Markdown 語法的格式，以下為提供的功能:

種類	語法	呈現
斜體	兩邊加單星	兩邊加單星
粗體	兩邊加雙星	兩邊加雙星
刪除線	~~兩邊加雙曲號~~	~~兩邊加雙曲號~~
引用	> 左邊加個大於符號	左邊加個大於符號
列表	* 可用星號 * 也可以 - 減號 * 數字加點也可以	可用星號也可以 - 減號數字加點也可以
固定寬字	`abcdefghijk` 兩邊用倒引號包住	`abcdefghijk`
編碼區塊	``` function abc() ``` 上下都用三個倒引號包住	`function abc()`
連結	[這是連結][1] [1]: http://example.com 連結第一部份是文字，先用中括號包住，後面再加上 [編號]。第二部份是連結本身，放在文末，開頭是 [編號]: http	這是連結1 1 http://example.com

Kmark 是一個類似 Markdown 語法的格式，以下為提供的功能:

種類	語法	呈現
斜體	兩邊加單星	兩邊加單星
粗體	兩邊加雙星	兩邊加雙星
刪除線	~~兩邊加雙曲號~~	~~兩邊加雙曲號~~
引用	> 左邊加個大於符號	左邊加個大於符號
列表	* 可用星號 * 也可以 - 減號 * 數字加點也可以	可用星號也可以 - 減號數字加點也可以
固定寬字	`abcdefghijk` 兩邊用倒引號包住	`abcdefghijk`
編碼區塊	``` function abc() ``` 上下都用三個倒引號包住	`function abc()`
連結	[這是連結][1] [1]: http://example.com 連結第一部份是文字，先用中括號包住，後面再加上 [編號]。第二部份是連結本身，放在文末，開頭是 [編號]: http	這是連結1 1 http://example.com