アカウント名:
パスワード:
散々指摘されているが。認証する側はパスワードをハッシュ化(=復元不能)して保存できるし、そうするべきだが。認証される側は、パスワードを復元する必要があるのでハッシュ化できない。
ThunderbirdやらのPCのメーラでも、それは同じだし、ハッシュ化はされていないはず。けれど、・マスターパスワードをつけて暗号化する・一見わからないように難読化する、あるいはハードコーディングされたキーなどで暗号化するという方法はとることができる。現に、Thunderbirdではマスターパスワードがつけられる(どうやら3DESが使われているらしい [passwordanalytics.com])し、つけなくてもぱっと見は分からないようになっている。
ただし、マスターパスワードは入力がめんどくさい。難読化はいずれ破られるし、一度解読法が知れ渡ると無いに等しい。そういう欠点をかかえている。そういう欠点はあっても、平文でなく暗号化などをすべきなのか?それとも「じゃあもうどうでもいい。しなくていい」って話なのか?
そもそもマスタパスワード等を使わずローカルストレージにある情報だけで認証を通せるようにしたい場合、ストレージの内容が丸ごと敵の手に渡る状況を想定しているのなら、鍵が同じストレージに入っているわけですから暗号化もクソもないですね。鍵が同梱されてたらDESだろうがAESだろうが安全性は何一つ担保しておらずセキュリティとしては本質的に平文と変わらないわけで、なんとなく暗号化しているつもりになっているだけです。もはや暗号化と呼ぶのも馬鹿馬鹿しいようななんちゃって難読化。サーバに認証通すための道具が全部ローカルにあってそれをソフトウェアで実
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
ハッシュ化はできないが。 (スコア:1)
散々指摘されているが。
認証する側はパスワードをハッシュ化(=復元不能)して保存できるし、そうするべきだが。認証される側は、パスワードを復元する必要があるのでハッシュ化できない。
ThunderbirdやらのPCのメーラでも、それは同じだし、ハッシュ化はされていないはず。けれど、
・マスターパスワードをつけて暗号化する
・一見わからないように難読化する、あるいはハードコーディングされたキーなどで暗号化する
という方法はとることができる。
現に、Thunderbirdではマスターパスワードがつけられる(どうやら3DESが使われているらしい [passwordanalytics.com])し、つけなくてもぱっと見は分からないようになっている。
ただし、マスターパスワードは入力がめんどくさい。難読化はいずれ破られるし、一度解読法が知れ渡ると無いに等しい。そういう欠点をかかえている。
そういう欠点はあっても、平文でなく暗号化などをすべきなのか?
それとも「じゃあもうどうでもいい。しなくていい」って話なのか?
1を聞いて0を知れ!
Re: (スコア:0)
そもそもマスタパスワード等を使わずローカルストレージにある情報だけで認証を通せるようにしたい場合、ストレージの内容が丸ごと敵の手に渡る状況を想定しているのなら、鍵が同じストレージに入っているわけですから暗号化もクソもないですね。
鍵が同梱されてたらDESだろうがAESだろうが安全性は何一つ担保しておらずセキュリティとしては本質的に平文と変わらないわけで、なんとなく暗号化しているつもりになっているだけです。もはや暗号化と呼ぶのも馬鹿馬鹿しいようななんちゃって難読化。
サーバに認証通すための道具が全部ローカルにあってそれをソフトウェアで実
Re: (スコア:0)