EpisoPassの脆弱性
1. 問題に正解できる他人がいると駄目
これは原理的に当然
「小野寺君の出身は?」みたいな問題は駄目
岩手に決まってるから
こういう問題で時間を稼ぐのはありかも
例:50問中20問は調べれば答えられる
調べると言っても、論文をくまなく探す必要がある
残りの30問中10問は関係が深い人なら答えられる
残りの20問のみ自分しか答えられない
2. 問題数が少ないと駄目
総当りが簡単だから
3. 回答の選択肢が少ないと駄目
総当りが簡単だから
ただ総当たりするとしてもパスワードの入力先サイト側ですぐ規制されるはず
4. Seedが短いと駄目
Seedが2桁だと100種類のパスワードしか生成できない
5. 問題を使い回すと駄目
どこかでパスワードが漏れると、同じ問題を使ってる別のパスワードもわかってしまう
対処法:どこかで漏れたら、問題を1問くらい増やして全サービスのパスワードを変える
同じパスワードに対して複数のEpisoPass問題を作成し、両方を公開すると駄目
7. DASがシンプルな場合は駄目
8. 記憶喪失には対処できない
エピソードも忘れることがほとんどなので
対処法:答えを金庫にでも入れておく
9. どんなエピソードも自慢したい人は使えない
この場合、偽のエピソードを創作すれば使えないことはない
10. 完全ローカルで総当たりができる場合
例1: パスワードのSHA256や、2,3文字以上の連続した一部分が分かる場合
例2: AESやzip暗号化を解くためのパスワードの場合
まあzip暗号化は元から総当たりしやすいですけど
暗号化されたデータ、EpisopassのHTML、Seedが全て公開されているとまずい
1~4はほぼ自明
5, 6 はちょっと注意が必要だが、毎回違う問題を使うことにしていれば大丈夫