アカウント名:
パスワード:
記事ではせめて SHA や MD5 でエンクリプトした状態で保存する方が良いとしているが、
本家のコメントにもあったけど、SHA や MD5 で得られたハッシュ値から、どうやって、POP や IMAP、SMTP-AUTH の認証を通すの?
それを言うなら、鍵管理ソフトの様に、マスターパスワードの入力を要求して、そのパスワードを使って解読できる、何らかの暗号化を施した値を保存すべきだと思うなぁ。
>色々不具合はありそうだけど、>まったく暗号化しないようりはどこかで暗号化したほうが安全に見えるけどね
セキュリティは明確な目標を決めないとキリがありません。またそれ自体に負荷もコストも運用問題も発生するものです。
個人情報保護とかでここは獄中かと思うくらい締め付けられてる人も多いでしょう。「どこまで締め付ければ気が済むんだよ!」って。
個人的には、ファイルシステムでのガードが存在する前提であれば「IDやパスワードは暗号化することが望ましい」くらいかなぁと思います。「こんなこともあろうかと」「念のため」。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
それでどうやって認証を通すんだ? (スコア:4, 興味深い)
本家のコメントにもあったけど、SHA や MD5 で得られたハッシュ値から、どうやって、POP や IMAP、SMTP-AUTH の認証を通すの?
それを言うなら、鍵管理ソフトの様に、マスターパスワードの入力を要求して、そのパスワードを使って解読できる、何らかの暗号化を施した値を保存すべきだと思うなぁ。
Re: (スコア:0)
でもスマートフォンでは事情が違うのかなと。電源が落ちることを想定しないスマートフォンではRAMに平文を展開するだけで無防備とか。長いパスワードを期待できないスマートフォンでマスターパスワードはあまり意味はないのかとか。数分でRAMから平文を消去し再度パスワード入力させる動作もあるけど、それもスマートフォンには不向きに思える。
色々不具合はありそうだけど、まったく暗号化しないようりはどこかで暗号化したほうが安全に見えるけどね
Re:それでどうやって認証を通すんだ? (スコア:0)
>色々不具合はありそうだけど、
>まったく暗号化しないようりはどこかで暗号化したほうが安全に見えるけどね
セキュリティは明確な目標を決めないとキリがありません。
またそれ自体に負荷もコストも運用問題も発生するものです。
個人情報保護とかでここは獄中かと思うくらい締め付けられてる人も多いでしょう。
「どこまで締め付ければ気が済むんだよ!」って。
個人的には、ファイルシステムでのガードが存在する前提であれば
「IDやパスワードは暗号化することが望ましい」くらいかなぁと思います。
「こんなこともあろうかと」「念のため」。