Log for #coscup

<TaiwaniaJusto>: WT，密碼設定原則改了

<toppy368>: 新密碼原則 http://www.appledaily.com.tw/realtimenews/article/international/20170809/1178321/

<toppy368>: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf

<toppy368>: 這個嗎 ?

<TaiwaniaJusto>: 嗯，這樣所有密碼強度測試算法又要改了

<koru1130>: 是說

<koru1130>: 直接塞中文字元會不會更強(?

<TaiwaniaJusto>: 而且又說不用定期改密碼了，之前銀行或某些網站要求定期改密碼的機制是設心酸的

<davihuan>: 中文有編碼轉換問題

<toppy368>: 我的極少數網站是用注音不切換的方式設密碼

<TaiwaniaJusto>: 我用拼音首字母

<koru1130>: (@toppy368: 我的極少數...) ++

<koru1130>: 我博客來密碼就有中文(#

<TaiwaniaJusto>: 而且坦承，漢拼有 ZQX 這些非常少用的字母，實在是設密碼的好工具 (?)

<koru1130>: http://i.imgur.com/ldLaDb6.jpg

<koru1130>: 他看起來就很明碼阿(?

<pennyken>: big-5跟UTF-8的hash不依樣

<pennyken>: 會搞死人

<mmis1000>: 不含雙引號一看就…

<mmis1000>: (@pennyken: big-5...) big5應該去死

<toppy368>: (@mmis1000: big5應...) +1

<koru1130>: (@mmis1000: big5應...) ++

<toppy368>: 中文密碼若統一採用UTF-8，覺得會比字母更多種組合

<FSSJU>: GBK也去死

<toppy368>: 以前腦袋開花時想過，Unicode passworld

<davihuan>: BIG5 是一個歷史的階段，死或者不死時間或決定。

<davihuan>: 會決定

<FSSJU>: (@toppy368: 以前腦袋開...) 來UTF-7互相傷害啊

<pennyken>: 乾脆表符比較快

<TaiwaniaJusto>: 中國大陸長期應該還是會用 GB

<koru1130>: emoji wwwwww

<pennyken>: https://www.inside.com.tw/2017/08/09/slat?utm_source=rss&utm_medium=rss&utm_campaign=slat

<pennyken>: 哈欠

<FSSJU>: (@pennyken: https...) 說真的 那天Italo來講的時候 我發現場內沒多少人orz

<Shigurefox>: (@toppy368: 新密碼原則...) »研究顯示，以4個英文單字連成的長密碼，遠比加入符號的短密碼難以破解。 fourwordsalluppercase

<FSSJU>: 感覺都跑去市長那裡了

<pennyken>: (@Shigurefox: »研究顯示...) 要Caps拉

<mmis1000>: (@Shigurefox: »研究顯示...) 怎麼沒有小駝峰

<koru1130>: (@mmis1000: 怎麼沒有小...) wwwwww

<freedmantw>: (@Shigurefox: »研究顯示...) 個人以為，這種說法不正確

<FSSJU>: 我好像之前就有在中國某社群說過

<koru1130>: 突然想到之前有人嘗試用emoji當iPhone密碼

<FSSJU>: 讓我我就被笑了

<pennyken>: 爸爸超強

<pennyken>: https://flic.kr/p/Xr2XQG

<MGdesigner>: (@pennyken: https...) COSCUP最強的speaker，一邊作重訓，一邊演講

<MGdesigner>: (@freedmantw: 個人以為，...) 我覺得這實際上只是增加長度的作法

<yanyiyi>: (@Haraguroicha: 這雁子是在...) 那是在...... 很狂奔到一樓拿到了大人物看板趕緊送到舞台最前方ＱＱ。 然後一臉累累。

<Cakechen>: (@yanyiyi: 那是在.....) 是雁子耶

<yanyiyi>: (@Cakechen: 是雁子耶) 哪招！

<Anfauglir>: (@yanyiyi: 那是在.....) 是雁子耶！

<yanyiyi>: 為什麼大家都來這招

<toppy368>: (@MGdesigner: 我覺得這實...) 我猜應該也是這樣，增加密碼的長度讓電腦有很多個 *52 種組合拖慢運算速度

<Shigurefox>: (@MGdesigner: 我覺得這實...) 應該說增加長度同時又不會造成使用者記憶困難

<FrankWu>: 密碼沒事還是用標準字元...不然搞到最後會搞死大家...

<freedmantw>: (@toppy368: 我猜應該也...) 這種的密碼應該用字典去猜，所以不是單論長度。假設常用的英文雌會有一百萬個，四個單詞的組合只有 10 的 24 次方種，剛剛過 2 的 80 次方這個安全門檻（幾年前的安全門檻）。

<undefined>: 注音打成英文啊

<SnowWolf725>: 之前HITCON有人分析過注音打成英文其實密碼強度減弱，因為可用的組合變少，當然你用長一點的句子應該還是能增強密碼強度

<fieliapm>: 今天這邊水也太多

<fieliapm>: morinoyousei <= 有人跟我照新式密碼的建議可以用這個起頭

<finderaz>: 把自己的密碼拿去sha雜湊啊 就算網站後台資料庫是明文也不用擔心呢 (X

<davihuan>: (@finderaz: 把自己的密...) 因為有規則還是可以分析，最後還是長度問題

<fieliapm>: 不過我在想會不會之後這套習慣推廣之後,try密碼的方式就變成拿一堆單字無意義地concat起來

<imacat_tw>: 那也要能夠輸入這麼長的密碼才有用啊 現在大多數的密碼欄都有長度限制，18-25個字元，手動能夠輸入四個英文字才有鬼

<fieliapm>: 還有那個apple也是很麻煩,[A-Z][a-z][0-9]都要有

<mmis1000>: Apple1 這樣就同時有3種了啊

<mmis1000>: 同時有三種很容易吧？

<davihuan>: 我現在大小寫數字符號是還蠻習慣的了

<Haraguroicha>: (@fieliapm: morin...) 日語拼音？

<fieliapm>: 森の妖精

<fieliapm>: 知道的就算惹,不知道的要google前請先做好心理建設(?)

<bestpika>: 哲♂學

<fieliapm>: 密♂碼♂ 學

<fieliapm>: 不過這年頭很多網站的密碼欄位字數上限是真的太短惹

<bestpika>: 當年 seednet 的 email 限 8 碼

<bestpika>: 不知道現在改了沒...

<Haraguroicha>: wwwww

<fieliapm>: 這麼一說我該去看看seednet email解禁了沒,很久以前設的到現在都沒換過

<Haraguroicha>: (@fieliapm: 森の妖精) 好喔，一時之間沒意會到

<tw0517tw>: https://blog.gslin.org/archives/2016/08/23/6769/nist-%E6%96%B0%E7%9A%84%E5%AF%86%E7%A2%BC%E8%A6%8F%E7%AF%84/ 是這篇的嗎？