アカウント名:
パスワード:
>プロトコルを合わせれば認証を通せるわけでしょ。
通せませんよw
正確にはハッシュから元のパスワードを推測するのは困難です。
たとえハッシュ値とハッシュ関数が明らかでも、そのハッシュ値にするための平文を見つけるのが大変なようにハッシュ関数は設計されているはずだからです。
セキュリティには、あまり詳しくないですが、>正確にはハッシュから元のパスワードを推測するのは困難です。それは困難ですが、ハッシュ値とハッシュ関数が明らなら、パスワードが正しいかどうかは判定できるはずなのでそれらが手にはいるとパスワードの判定を多少速くできるようになると思います。
それはパスワード辞書や総あたりで見つける為の時間が多少短くなっただけでもともとパスワードという方法をとっている限りあなたの希望する安全ではないと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
なんでパスワードまで流出するの (スコア:2, 興味深い)
Re: (スコア:0)
平文かどうかに関係なくパスワードそのものを保存していたことが問題だろう。
Re: (スコア:0)
ハッシュを保存していたとしても、ハッシュが流出すれば、プロトコルを合わせれば認証を通せるわけでしょ。
ハッシュが流出しても一緒。流出したこと自体が問題。
Re: (スコア:2, すばらしい洞察)
>プロトコルを合わせれば認証を通せるわけでしょ。
通せませんよw
正確にはハッシュから元のパスワードを推測するのは困難です。
たとえハッシュ値とハッシュ関数が明らかでも、
そのハッシュ値にするための平文を見つけるのが大変なように
ハッシュ関数は設計されているはずだからです。
Re: (スコア:0)
Re:なんでパスワードまで流出するの (スコア:0)
セキュリティには、あまり詳しくないですが、
>正確にはハッシュから元のパスワードを推測するのは困難です。
それは困難ですが、ハッシュ値とハッシュ関数が明らなら、パスワードが正しいかどうかは判定できるはずなので
それらが手にはいるとパスワードの判定を多少速くできるようになると思います。
それはパスワード辞書や総あたりで見つける為の時間が多少短くなっただけで
もともとパスワードという方法をとっている限りあなたの希望する安全ではないと思います。