アカウント名:
パスワード:
ハッシュ化してDBに保存するなら、16文字なんて中途半端な制限を設けず255文字でも1024文字でも保存容量は変わらないはず。まさか・・・・まさかねえ。
ハッシュ化してDBに保存するなら、16文字なんて中途半端な制限を設けず255文字でも1024文字でも保存容量は変わらないはず。 まさか・・・・まさかねえ。
リスト型攻撃が流行していることもあり、パスワードのハッシュ化を推奨する意見が多くなりましたが、パスワードのハッシュ化にはメリットだけでなくデメリットもあるのです。
「パスワードをハッシュ化しなくて良かった!」というモデルケースを挙げてみます。
【モデルケース1】 ダイレクトメール発送の業務委託先から、全顧客のお客様番号と生年月日を含むリストが漏えいしてしまった。(パスワードは
銀行が生パスワードを保持している場合、不正アクセスの事案が発生したら、 その銀行は、自身から生パスワードが流出していないことを証明しなくてはならなくなりますよ。 これは、その銀行にとって詰みです。
生パスワードを保持していたからといって、銀行が、自身から生パスワードが流出していないことを証明しなければならない(ほぼ悪魔の証明)、ということにはならないと思いますが。
それを言い出したら、キャッシュカードでの不正引出があったら、銀行が、銀行から暗証番号が流失していないことを証明しないといけないのですか?
また、ハッシュ化していたところで、銀行またはシステム管理者の内部犯を疑いだしたら、ハッシュ化処理の前のパスワードを抜き出すことだって可能だし、ハッシュ化の際にソルトの使用やストレッチング処理を行っていれば、全顧客の生パスワードを解析するといったことは困難になりますが、特定の数人の顧客の生パスワードを、ハッシュ値からブルートフォースアタックで解析するぐらいのことは(よほど強いストレッチングをしていて、かつ顧客が強度の強いパスワードを設定していない限りは)現実的な時間で可能です。だからこそ、パスワードのハッシュ値が漏えいした企業が、顧客にパスワードの変更を依頼するケースが多いのです。(ハッシュ化は漏えいから悪用可能な状態となるまでの時間を稼ぐ役割)
ちなみに、銀行ではなく大手証券会社ですが、家族がマネックス証券のパスワードを忘れたときには、ログインID・口座番号・パスワード・暗証番号照会依頼書 [monex.co.jp]を郵送して照会しましたが、ログインID・口座番号・パスワード・暗証番号の全てが記載された紙が転送不要の簡易書留郵便で届きました。このことから、マネックス証券は平文でパスワードを保存しているようです。
別ACとして、おおむね納得しましたが。
キャッシュカードの不正利用は物理的に足がつきやすいですからねぇ。
> ログインID・口座番号・パスワード・暗証番号の全てが記載された紙が転送不要の簡易書留郵便で届きました。
暗証番号があり、全て同時に送っているのでアレですが、パスワードを「新規発行」したという可能性はゼロなんでしょうか。
# 某古参ISPもパスワード印刷してきたけどあれはどうだったか……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
なぜ最大16文字? (スコア:0)
ハッシュ化してDBに保存するなら、16文字なんて中途半端な制限を設けず255文字でも1024文字でも保存容量は変わらないはず。
まさか・・・・まさかねえ。
ハッシュ化にはデメリットもある (スコア:3, 興味深い)
リスト型攻撃が流行していることもあり、パスワードのハッシュ化を推奨する意見が多くなりましたが、パスワードのハッシュ化にはメリットだけでなくデメリットもあるのです。
「パスワードをハッシュ化しなくて良かった!」というモデルケースを挙げてみます。
【モデルケース1】
ダイレクトメール発送の業務委託先から、全顧客のお客様番号と生年月日を含むリストが漏えいしてしまった。(パスワードは
Re: (スコア:1)
その銀行は、自身から生パスワードが流出していないことを証明しなくてはならなくなりますよ。
これは、その銀行にとって詰みです。
生パスワードは、持っていること自体が巨大なリスクなのですよ。
Re:ハッシュ化にはデメリットもある (スコア:1)
生パスワードを保持していたからといって、銀行が、自身から生パスワードが流出していないことを証明しなければならない(ほぼ悪魔の証明)、ということにはならないと思いますが。
それを言い出したら、キャッシュカードでの不正引出があったら、銀行が、銀行から暗証番号が流失していないことを証明しないといけないのですか?
また、ハッシュ化していたところで、銀行またはシステム管理者の内部犯を疑いだしたら、ハッシュ化処理の前のパスワードを抜き出すことだって可能だし、ハッシュ化の際にソルトの使用やストレッチング処理を行っていれば、全顧客の生パスワードを解析するといったことは困難になりますが、特定の数人の顧客の生パスワードを、ハッシュ値からブルートフォースアタックで解析するぐらいのことは(よほど強いストレッチングをしていて、かつ顧客が強度の強いパスワードを設定していない限りは)現実的な時間で可能です。だからこそ、パスワードのハッシュ値が漏えいした企業が、顧客にパスワードの変更を依頼するケースが多いのです。(ハッシュ化は漏えいから悪用可能な状態となるまでの時間を稼ぐ役割)
ちなみに、銀行ではなく大手証券会社ですが、家族がマネックス証券のパスワードを忘れたときには、ログインID・口座番号・パスワード・暗証番号照会依頼書 [monex.co.jp]を郵送して照会しましたが、ログインID・口座番号・パスワード・暗証番号の全てが記載された紙が転送不要の簡易書留郵便で届きました。このことから、マネックス証券は平文でパスワードを保存しているようです。
Re: (スコア:0)
別ACとして、おおむね納得しましたが。
キャッシュカードの不正利用は物理的に足がつきやすいですからねぇ。
> ログインID・口座番号・パスワード・暗証番号の全てが記載された紙が転送不要の簡易書留郵便で届きました。
暗証番号があり、全て同時に送っているのでアレですが、パスワードを「新規発行」したという可能性はゼロなんでしょうか。
# 某古参ISPもパスワード印刷してきたけどあれはどうだったか……
Re: (スコア:0)