アカウント名:
パスワード:
一体何年前の感覚なんだろう。暗号化してても意味無い。システム側にはパスワードはハッシュ化して保存してれば十分。
リンク先を読むと、おそらくパスワードは生ではなく、ハッシュされた文字列を保存していたのでしょう。
ただ、パスワードの文字列を単純にハッシュ処理して保存していたことが問題のようです。サーバー側で文字列の付加や再帰的なハッシュ処理していればもう少し強くなったでしょうに…。
いくらハッシュでも単純な文字列だと既知のハッシュ対応データベースがありますので、元のパスワード文字列が推測可能です。そのため「暗号化はされていたけど総当たり攻撃されるとバレて、同じIDとパスワードを組み合わせて利用していると危険なので対応お願いします。」ってことじゃないかな。
名前を知らずに使っていました。ソルト処理というのですか…勉強させて頂きました。
私も知らなかったのですが、その感覚ももう古い(というか最初から間違い?)らしいです。以下のリンクでは「暗号ではなくハッシュ値で保存すべき」という意見がセキュリティ専門家から否定されています。http://b.hatena.ne.jp/entry/togetter.com/li/77080 [hatena.ne.jp]http://togetter.com/li/77080 [togetter.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
生パスワードを保存する必要性って何? (スコア:1)
一体何年前の感覚なんだろう。暗号化してても意味無い。システム側にはパスワードはハッシュ化して保存してれば十分。
Re:生パスワードを保存する必要性って何? (スコア:1, 参考になる)
リンク先を読むと、おそらくパスワードは生ではなく、ハッシュされた文字列を保存していたのでしょう。
ただ、パスワードの文字列を単純にハッシュ処理して保存していたことが問題のようです。
サーバー側で文字列の付加や再帰的なハッシュ処理していればもう少し強くなったでしょうに…。
いくらハッシュでも単純な文字列だと既知のハッシュ対応データベースがありますので、元のパスワード文字列が推測可能です。
そのため「暗号化はされていたけど総当たり攻撃されるとバレて、同じIDとパスワードを組み合わせて利用していると危険なので対応お願いします。」ってことじゃないかな。
Re:生パスワードを保存する必要性って何? (スコア:2, 参考になる)
Re: (スコア:0)
名前を知らずに使っていました。ソルト処理というのですか…勉強させて頂きました。
Re: (スコア:0)
Re: (スコア:0)
私も知らなかったのですが、その感覚ももう古い(というか最初から間違い?)らしいです。
以下のリンクでは「暗号ではなくハッシュ値で保存すべき」という意見がセキュリティ専門家から否定されています。
http://b.hatena.ne.jp/entry/togetter.com/li/77080 [hatena.ne.jp]
http://togetter.com/li/77080 [togetter.com]