アカウント名:
パスワード:
記事ではせめて SHA や MD5 でエンクリプトした状態で保存する方が良いとしているが、
本家のコメントにもあったけど、SHA や MD5 で得られたハッシュ値から、どうやって、POP や IMAP、SMTP-AUTH の認証を通すの?
それを言うなら、鍵管理ソフトの様に、マスターパスワードの入力を要求して、そのパスワードを使って解読できる、何らかの暗号化を施した値を保存すべきだと思うなぁ。
平文になってるのにも、暗号化できないにも意味があるんですけどねぇ技術系サイトでメールサーバの挙動もわかってない人たちが勘違いなコメントつけてるのみると残念な感じがします
「マスターパスワード等によるセキュリティトークン暗号化」なら普通の発想だと思うのだが、何を残念がっているのだろう。
解り辛いので自分の解釈もちょっと自信がないが、「勘違いなコメント」と指摘しているのは多分本家のコメントの事で、#1992322はJULY氏のコメントに同意するものなのではないかな。
>色々不具合はありそうだけど、>まったく暗号化しないようりはどこかで暗号化したほうが安全に見えるけどね
セキュリティは明確な目標を決めないとキリがありません。またそれ自体に負荷もコストも運用問題も発生するものです。
個人情報保護とかでここは獄中かと思うくらい締め付けられてる人も多いでしょう。「どこまで締め付ければ気が済むんだよ!」って。
個人的には、ファイルシステムでのガードが存在する前提であれば「IDやパスワードは暗号化することが望ましい」くらいかなぁと思います。「こんなこともあろうかと」「念のため」。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
それでどうやって認証を通すんだ? (スコア:4, 興味深い)
本家のコメントにもあったけど、SHA や MD5 で得られたハッシュ値から、どうやって、POP や IMAP、SMTP-AUTH の認証を通すの?
それを言うなら、鍵管理ソフトの様に、マスターパスワードの入力を要求して、そのパスワードを使って解読できる、何らかの暗号化を施した値を保存すべきだと思うなぁ。
Re: (スコア:0)
平文になってるのにも、暗号化できないにも意味があるんですけどねぇ
技術系サイトでメールサーバの挙動もわかってない人たちが
勘違いなコメントつけてるのみると残念な感じがします
Re: (スコア:0)
「マスターパスワード等によるセキュリティトークン暗号化」なら普通の発想だと思うのだが、何を残念がっているのだろう。
Re: (スコア:0)
解り辛いので自分の解釈もちょっと自信がないが、
「勘違いなコメント」と指摘しているのは多分本家のコメントの事で、
#1992322はJULY氏のコメントに同意するものなのではないかな。
Re: (スコア:0)
でもスマートフォンでは事情が違うのかなと。電源が落ちることを想定しないスマートフォンではRAMに平文を展開するだけで無防備とか。長いパスワードを期待できないスマートフォンでマスターパスワードはあまり意味はないのかとか。数分でRAMから平文を消去し再度パスワード入力させる動作もあるけど、それもスマートフォンには不向きに思える。
色々不具合はありそうだけど、まったく暗号化しないようりはどこかで暗号化したほうが安全に見えるけどね
Re: (スコア:0)
>色々不具合はありそうだけど、
>まったく暗号化しないようりはどこかで暗号化したほうが安全に見えるけどね
セキュリティは明確な目標を決めないとキリがありません。
またそれ自体に負荷もコストも運用問題も発生するものです。
個人情報保護とかでここは獄中かと思うくらい締め付けられてる人も多いでしょう。
「どこまで締め付ければ気が済むんだよ!」って。
個人的には、ファイルシステムでのガードが存在する前提であれば
「IDやパスワードは暗号化することが望ましい」くらいかなぁと思います。
「こんなこともあろうかと」「念のため」。