アカウント名:
パスワード:
のように行われます。 このような手順を踏めば、
ので安全です。
現実には元のパスワードが123456とかabcdefな場合がよくあるので、ハッシュが1件でなく全部流出した場合、へぼパスワードのアカウントは全部抜かれるんですけどね。
それは、にわか知識で作られたへぼ実装の場合だけです。 ちゃんとした実装では、saltもその都度変更するので、同じパスワードでも異なるハッシュ値となります。 この辺 [unixuser.org]とか参照で。
# と偉そうに言いつつ、自分も先週知ったばかりなのでAC(汗
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
なんでパスワードまで流出するの (スコア:2, 興味深い)
Re: (スコア:0)
平文かどうかに関係なくパスワードそのものを保存していたことが問題だろう。
Re: (スコア:0)
ハッシュを保存していたとしても、ハッシュが流出すれば、プロトコルを合わせれば認証を通せるわけでしょ。
ハッシュが流出しても一緒。流出したこと自体が問題。
Re: (スコア:0)
これsha1なんだが、元のテキスト何かわかる?あなたのパソコンでブルートフォースでもしてどれくらい時間かかるか試してみて!
Re: (スコア:3, 参考になる)
99%の人には「いまさら」だろうけど誤解が減るのは良いことなので書いておくと、Webサイトでの認証は
のように行われます。
このような手順を踏めば、
ので安全です。
Re: (スコア:0)
現実には元のパスワードが123456とかabcdefな場合がよくあるので、ハッシュが1件でなく全部流出した場合、へぼパスワードのアカウントは全部抜かれるんですけどね。
へぼパスワードが問題になるのはへぼ実装だけ (スコア:2, 参考になる)
それは、にわか知識で作られたへぼ実装の場合だけです。
ちゃんとした実装では、saltもその都度変更するので、同じパスワードでも異なるハッシュ値となります。
この辺 [unixuser.org]とか参照で。
# と偉そうに言いつつ、自分も先週知ったばかりなのでAC(汗
Re: (スコア:2, 参考になる)
アルゴリズムとハッシュの組があればブルートフォースや辞書攻撃が可能です。
# ユーザごとに異なるアルゴリズムとして解いていく。
まぁこれにはアルゴリズムが判明しているって前提があるんで、この前提の保護を強化する事は可能です。
ソルトorハッシュに情報量の減らない追加演算(第二ソルトをハードコーディングしたり、ビットシャッフルやビット反転を掛ける)を加えることでアルゴリズムに改変を加えてしまえば、ユーザ情報DBに含まれるソルトやハッシュだけでは解けなくなります。
しかしこの場合も、ソースコード(や追加演算情報を格納した別DB)が抜き取られればやはり辞書攻撃が可能になります。
Re:へぼパスワードが問題になるのはへぼ実装だけ (スコア:0)