アカウント名:
パスワード:
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。いや平文で保存しているかどうかはこれではわからんでしょ。アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)でありダメくせぇなこれwww
確かにこれは書き方がよくないですね「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?パスワードを平文に復元できなければ安全ではないのでパスワードを平文に復元できるから危険でもないですよね?
君が言う不可逆のケースでも適用可能な攻撃は全て可逆の場合にもより容易に適用できるので論外話のスタートラインにも立ってないから出直して
#3206302ですが
>#3206302のつっこみは、>可逆であれば、必ず復元できると勘違いしていないかいという話でしょ?>当然ながら、当事者は復元可能だけど、当事者でなければそれを復元できる保証はないよね。>っていう話だ・・・
それは前提でしょう。そこすら説明が必要な人達なのですか。びっくりです。てか#3206519の言っていることすら理解できない可能性も。
ちなみに不可逆暗号についてはGoogleで検索するだけで復元可能なものもある。鍵とか塩とかあれば別ですけどね。あとはアルゴリズムの複雑さですね。
私君の方がはるかにアホだと思うの
なんかずっと自演し続けてるけど、まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
「ハッシュは安全。不可逆だから漏れてもパスワードがわからない」と思ってることが危険と言われてもわからないのが恐怖。
やっぱ君だけ理解してないじゃん
ハッシュは安全と信じてるのがこえー
ハッシュと呼んだ時に君以外の全員が暗黙的に仮定しているであろうSHA-2はおろか、弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。そもそもSHA-2に原像攻撃が通るほどハッシュ関数が脆弱だったらSSLの数学的基盤が崩れてインターネットは崩壊する。
この説明で分からんようなら1年くらいかけて勉強し直すまでレス禁止。
度しがたい馬鹿でも分かるように一言で答えちゃうねー
不可逆だから漏れてもパスワードがわからない
そうだよ
>弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。MD5は辞書攻撃で抜けます。
え?
>SSLの数学的基盤が崩れてインターネットは崩壊する。そういえばSSLは可逆暗号ですね。
は?
何いってんだこいつ……
自分が理解できないと、書いている人が悪いと解釈するヤツね。
#3206654が理解できないんじゃないとは思うけど・・・?
たった2行でここまで何もかも分かってないのが露呈するのスゲーな。逆にこれが釣りだったらある意味センスあるわ。
>MD5は辞書攻撃で抜けます。
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。そのケースはそもそも内部からパスワードが漏れる必要すらない。ログインフォームに正面から12345678って入れたらログインできるようなものにセキュリティを論ずる意味はない。もちろん平文で保存すれば回避できる問題でもないため全くお話にならない。
>そういえばSSLは可逆暗号ですね。
SSLのどこでハッシュが使われているのか根本的に理解していない芸術的なまでの馬鹿レス。鍵交換から共通鍵による暗号化・復号化の処理には、ハッシュは全く関係ない。ハッシュが使われているのは電子署名の部分。
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたのでMD5は辞書攻撃で抜ける話をしたまでです。
そのケースはそもそも内部からパスワードが漏れる必要すらない。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたので
辞書攻撃を原像攻撃とは言わない。それは「平文が先に判明している場合」に区分される。MD5どころかSHA2だろうがSHA3だろうが辞書攻撃でアウトなパスワードを使っていれば破られる。が、それを「ハッシュが破られた」とは呼ばない。平文パスワードが先に判明していてそっちから当たっていって正解にたどり着いてしまうようなケースなら、ハッシュ化パスワードが漏洩する必要すらない。正面からログインフォームにそれを入力すれば入れてしまう。意味分かる?また、そのケースでハッシュ化せずにパスワードを保存していたとしても安全性は上がらない(当然辞書に当たらないパスワードも全部漏れるだけである)ため、結局ハッシュ化しないよりはした方が遙かに安全という現実には違いはない。
ここまで説明しても理解できないんだろうなぁこいつ。
何の話をしてるのか分からないなら無理にレスするなよ
無意味な方向に話を膨らませても、バブルの様にはじけ飛ぶだけだぞ。そりゃ、完全に趣味の話だとか、新しいネタ出し用のブレインストーミングならブクブク話を膨らませる事も大いに意味が有るけど、今回の件は特定の技術・制度(セキュリティ)において「何がより効果が高いか」正しい筋道を議論している所やん。言っちゃ悪いけど、自分の話している内容どころか、他人との会話の基本的技術を習得できているのか疑問になるレベルだぞ…。
問題は攻撃者が本人でもないのに、ログインしてデータにアクセスすることじゃないのか?
タイトルのとおり平文で保存してるかどうかはわからんの話ですね。可逆暗号で保存している可能性もあるという話になって(ry
//スラドは往々にしてストリートは別のスレッドが流れます。//やるかやらないかという話と、技術的にやれるかやれないかという話は別
今回の件は特定の技術・制度(セキュリティ)において「何がより効果が高いか」正しい筋道を議論している所やん。
「何がより効果が高いか」って話ならば、より強力な不可逆暗号をしておくことで終わるかと。
しかし、パスワードを平文でメールで送る。=平文で保存している。という話からいやそれはどうかな?可逆暗号で保存している可能性もある。って話になっているんですけどね。
本来やるべきことと技術的に可能かという話は別ですよ。特に「普通はこうだ」って話になったからおかしくなっていったわけでなぜこうなっているかの説明がないから遊ばれたんじゃないかなと。
データが漏洩するということは、サーバに侵入されているか、内通者がいることを意味しているわけで、可逆暗号なんて共通鍵ごと漏れるに決まってるのではっきり言って安全性は平文と変わらん。
いやまあ平文を1、ハッシュ化を100とした場合、可逆暗号化は2くらいの意味はあるかもしれないが、気休めと呼ぶのも惨めなレベル。どちらにしてもメールで平文を送っている時点で論外オブ論外であるが、そんなことを要求してきた大バカに対して「意味も分からず暗号化しているから大丈夫ですと言って馬鹿をなだめすかすための暗号化(笑)」でしかない。
現実問題、可逆暗号で暗号化(と馬鹿が称する行為)をしておいて、鍵ごと漏れる(当然実行プロセスのすぐ側にある)のが「いつものこと」であるため、セキュリティ上こんなものは平文保存と変わらない愚策というのが、君一人を除いてスラドに来る程度の人には常識なわけよ。
いやまあ平文を1、ハッシュ化を100とした場合、可逆暗号化は2くらいの意味はあるかもしれないが、気休めと呼ぶのも惨めなレベル。
そうかもしれないね。けど、そういう要件があればそういう仕様で開発することはあります。
ちなみに共通鍵にするわけがない。あわせて公開鍵もセットしてお
データが漏洩するということは、サーバに侵入されているか、内通者がいることを意味しているわけで、
そこまで行ったらもう呑気にパスワード漏洩心配してる状況じゃないでしょ。個人情報は完全に抜かれてるし、データやシステムの改ざんが行われてない事が保証できなくなっている。辛うじてパスワードが保護できたからってそれがどうしたってレベル。
>ちなみに共通鍵にするわけがない。あわせて公開鍵もセットしておきましょうか。知らない単語を無理に使わない方がいい。公開鍵はお前が想像しているような意味ではないこの場合の実装は共通鍵暗号以外ありえない
>ハッシュ化を100ですか・・・。もっとでかいよな
知らない単語を無理に使わない方がいい。公開鍵はお前が想像しているような意味ではない
あなたがどんな意味で公開鍵という言葉を使っているのかしりませんが、認証プログラムなり危険ならば認証サーバーを1つ経由すれば公開鍵によるパスワード保存も可能です。
この場合の実装は共通鍵暗号以外ありえない
いや、それぞれに鍵を割り当てればいいので「共通鍵暗号以外ありえない」ことはありません。鍵をそれぞれに割り当てるくらい簡単です。
あなたはそれができないのかもしれませんが、あなたにできないからみんなができないではありませんよ。
「共通鍵暗号」の「共通」が何を意味してるのかすら知らない人とかスラドにいるわけないし、これ冗談で言ってるんだよな?
つーか、人の間違えはふぁびって指摘してくるけど、
スレッドにそぐった質問にはまったく回答ないんだな。
(#3206599) とか (#3207835) とか (#3208016) とかのあたり。結局自分がわかることとしか答えずそうでないものは返すにしても個人攻撃しかしない。
内容についての議論ができないやつら。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
平文で保存してるかどうかはわからんのでは。 (スコア:0)
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。
いや平文で保存しているかどうかはこれではわからんでしょ。
アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど
> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり
ダメくせぇなこれwww
Re: (スコア:-1, オフトピック)
確かにこれは書き方がよくないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
Re: (スコア:0)
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?
パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?
Re: (スコア:0)
>パスワードを平文に復元できなければ安全ではないので
>パスワードを平文に復元できるから危険でもないですよね?
そりゃそうだ。
可逆でも不可逆でも暗号の仕方しだいだと思う。
>普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
>そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
このような、定型文を返すようじゃ、本質的なとこは理解してなそうな気がする。
不可逆だとしても、レインボーテーブル攻撃もあるし、それだけじゃ解決にはなっていない。
最後まで書くのは、つまらないので、このやりとりの本質のところを考えてみたほうがいいと思う。なんかで見た文章をその意味を考えずそのまま答えているようじゃ、あかんと思う。
Re: (スコア:0)
君が言う不可逆のケースでも適用可能な攻撃は全て可逆の場合にもより容易に適用できるので論外
話のスタートラインにも立ってないから出直して
Re:平文で保存してるかどうかはわからんのでは。 (スコア:0)
こんなに面白いのにつっこまずにいれますか!(いや無理)
あれれ?
あんだけ、詳しく書いても理解できていないの??
本当は、気づいているのに、気づいてないふりでもしてるんじゃ 笑
通りすがりなのにここまで親切に解説をするはめになるとはなぁ。。。
#3206302のつっこみは、
可逆であれば、必ず復元できると勘違いしていないかいという話でしょ?
当然ながら、当事者は復元可能だけど、当事者でなければそれを復元できる保証はないよね。
っていう話だ・・・
最後まで言わせないでくれよ。まったく。
Re: (スコア:0)
#3206302ですが
>#3206302のつっこみは、
>可逆であれば、必ず復元できると勘違いしていないかいという話でしょ?
>当然ながら、当事者は復元可能だけど、当事者でなければそれを復元できる保証はないよね。
>っていう話だ・・・
それは前提でしょう。そこすら説明が必要な人達なのですか。びっくりです。
てか#3206519の言っていることすら理解できない可能性も。
ちなみに不可逆暗号についてはGoogleで検索するだけで復元可能なものもある。
鍵とか塩とかあれば別ですけどね。あとはアルゴリズムの複雑さですね。
Re: (スコア:0)
私君の方がはるかにアホだと思うの
Re: (スコア:0)
なんかずっと自演し続けてるけど、まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
Re: (スコア:0)
まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
「ハッシュは安全。不可逆だから漏れてもパスワードがわからない」
と思ってることが危険と言われてもわからないのが恐怖。
Re: (スコア:0)
やっぱ君だけ理解してないじゃん
Re: (スコア:0)
やっぱ君だけ理解してないじゃん
ハッシュは安全と信じてるのがこえー
Re: (スコア:0)
ハッシュと呼んだ時に君以外の全員が暗黙的に仮定しているであろうSHA-2はおろか、弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。
そもそもSHA-2に原像攻撃が通るほどハッシュ関数が脆弱だったらSSLの数学的基盤が崩れてインターネットは崩壊する。
この説明で分からんようなら1年くらいかけて勉強し直すまでレス禁止。
Re: (スコア:0)
度しがたい馬鹿でも分かるように一言で答えちゃうねー
不可逆だから漏れてもパスワードがわからない
そうだよ
Re: (スコア:0)
>弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。
MD5は辞書攻撃で抜けます。
え?
>SSLの数学的基盤が崩れてインターネットは崩壊する。
そういえばSSLは可逆暗号ですね。
は?
何いってんだこいつ……
Re: (スコア:0)
何いってんだこいつ……
自分が理解できないと、書いている人が悪いと解釈するヤツね。
#3206654が理解できないんじゃないとは思うけど・・・?
Re: (スコア:0)
たった2行でここまで何もかも分かってないのが露呈するのスゲーな。逆にこれが釣りだったらある意味センスあるわ。
>MD5は辞書攻撃で抜けます。
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。
そのケースはそもそも内部からパスワードが漏れる必要すらない。ログインフォームに正面から12345678って入れたらログインできるようなものにセキュリティを論ずる意味はない。
もちろん平文で保存すれば回避できる問題でもないため全くお話にならない。
>そういえばSSLは可逆暗号ですね。
SSLのどこでハッシュが使われているのか根本的に理解していない芸術的なまでの馬鹿レス。
鍵交換から共通鍵による暗号化・復号化の処理には、ハッシュは全く関係ない。ハッシュが使われているのは電子署名の部分。
Re: (スコア:0)
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたので
MD5は辞書攻撃で抜ける話をしたまでです。
そのケースはそもそも内部からパスワードが漏れる必要すらない。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたので
Re: (スコア:0)
辞書攻撃を原像攻撃とは言わない。それは「平文が先に判明している場合」に区分される。
MD5どころかSHA2だろうがSHA3だろうが辞書攻撃でアウトなパスワードを使っていれば破られる。
が、それを「ハッシュが破られた」とは呼ばない。
平文パスワードが先に判明していてそっちから当たっていって正解にたどり着いてしまうようなケースなら、ハッシュ化パスワードが漏洩する必要すらない。正面からログインフォームにそれを入力すれば入れてしまう。意味分かる?
また、そのケースでハッシュ化せずにパスワードを保存していたとしても安全性は上がらない(当然辞書に当たらないパスワードも全部漏れるだけである)ため、結局ハッシュ化しないよりはした方が遙かに安全という現実には違いはない。
ここまで説明しても理解できないんだろうなぁこいつ。
Re: (スコア:0)
ここにぶら下げればよりごうごうと燃えてくれそうだから
ここに投下することにしよう。
ハッシュ漏れたらやばいよね。
ハッシュからパスばれちゃうもの
※ただし・・(以下略
Re: (スコア:0)
問題は攻撃者が本人でもないのに、ログインしてデータにアクセスすることじゃないのか?
パスワードをハッシュ化すれば万事OKという簡単な話じゃないのは言うまでもないことだろうが…
何を言っているのだろうか
Re: (スコア:0)
何の話をしてるのか分からないなら無理にレスするなよ
Re: (スコア:0)
無意味な方向に話を膨らませても、バブルの様にはじけ飛ぶだけだぞ。
そりゃ、完全に趣味の話だとか、新しいネタ出し用のブレインストーミングならブクブク話を膨らませる事も大いに意味が有るけど、今回の件は特定の技術・制度(セキュリティ)において「何がより効果が高いか」正しい筋道を議論している所やん。言っちゃ悪いけど、自分の話している内容どころか、他人との会話の基本的技術を習得できているのか疑問になるレベルだぞ…。
Re: (スコア:0)
問題は攻撃者が本人でもないのに、ログインしてデータにアクセスすることじゃないのか?
タイトルのとおり
平文で保存してるかどうかはわからん
の話ですね。
可逆暗号で保存している可能性もあるという話になって(ry
//スラドは往々にしてストリートは別のスレッドが流れます。
//やるかやらないかという話と、技術的にやれるかやれないかという話は別
Re: (スコア:0)
今回の件は特定の技術・制度(セキュリティ)において「何がより効果が高いか」正しい筋道を議論している所やん。
「何がより効果が高いか」って話ならば、より強力な不可逆暗号をしておくことで終わるかと。
しかし、
パスワードを平文でメールで送る。=平文で保存している。
という話から
いやそれはどうかな?可逆暗号で保存している可能性もある。
って話になっているんですけどね。
本来やるべきことと
技術的に可能かという話は別ですよ。
特に「普通はこうだ」って話になったからおかしくなっていったわけで
なぜこうなっているかの説明がないから遊ばれたんじゃないかなと。
Re: (スコア:0)
データが漏洩するということは、サーバに侵入されているか、内通者がいることを意味しているわけで、
可逆暗号なんて共通鍵ごと漏れるに決まってるのではっきり言って安全性は平文と変わらん。
いやまあ平文を1、ハッシュ化を100とした場合、可逆暗号化は2くらいの意味はあるかもしれないが、気休めと呼ぶのも惨めなレベル。
どちらにしてもメールで平文を送っている時点で論外オブ論外であるが、そんなことを要求してきた大バカに対して「意味も分からず暗号化しているから大丈夫ですと言って馬鹿をなだめすかすための暗号化(笑)」でしかない。
現実問題、可逆暗号で暗号化(と馬鹿が称する行為)をしておいて、鍵ごと漏れる(当然実行プロセスのすぐ側にある)のが「いつものこと」であるため、セキュリティ上こんなものは平文保存と変わらない愚策というのが、君一人を除いてスラドに来る程度の人には常識なわけよ。
Re: (スコア:0)
いやまあ平文を1、ハッシュ化を100とした場合、可逆暗号化は2くらいの意味はあるかもしれないが、気休めと呼ぶのも惨めなレベル。
そうかもしれないね。けど、そういう要件があればそういう仕様で開発することはあります。
データが漏洩するということは、サーバに侵入されているか、内通者がいることを意味しているわけで、
可逆暗号なんて共通鍵ごと漏れるに決まってるのではっきり言って安全性は平文と変わらん。
ちなみに共通鍵にするわけがない。あわせて公開鍵もセットしてお
Re: (スコア:0)
なんでログインするんだよ…
おまえさんの世界の常識はずいぶん都合がよくできてるんだな
Re: (スコア:0)
データが漏洩するということは、サーバに侵入されているか、内通者がいることを意味しているわけで、
そこまで行ったらもう呑気にパスワード漏洩心配してる状況じゃないでしょ。
個人情報は完全に抜かれてるし、データやシステムの改ざんが行われてない事が保証できなくなっている。
辛うじてパスワードが保護できたからってそれがどうしたってレベル。
Re: (スコア:0)
>ちなみに共通鍵にするわけがない。あわせて公開鍵もセットしておきましょうか。
知らない単語を無理に使わない方がいい。公開鍵はお前が想像しているような意味ではない
この場合の実装は共通鍵暗号以外ありえない
>ハッシュ化を100ですか・・・。
もっとでかいよな
Re: (スコア:0)
知らない単語を無理に使わない方がいい。公開鍵はお前が想像しているような意味ではない
あなたがどんな意味で公開鍵という言葉を使っているのかしりませんが、
認証プログラムなり危険ならば認証サーバーを1つ経由すれば公開鍵によるパスワード保存も可能です。
この場合の実装は共通鍵暗号以外ありえない
いや、それぞれに鍵を割り当てればいいので「共通鍵暗号以外ありえない」ことはありません。
鍵をそれぞれに割り当てるくらい簡単です。
あなたはそれができないのかもしれませんが、あなたにできないからみんなができないではありませんよ。
Re: (スコア:0)
いや、それぞれに鍵を割り当てればいいので「共通鍵暗号以外ありえない」ことはありません。
鍵をそれぞれに割り当てるくらい簡単です。
「共通鍵暗号」の「共通」が何を意味してるのかすら知らない人とかスラドにいるわけないし、これ冗談で言ってるんだよな?
Re: (スコア:0)
つーか、人の間違えはふぁびって指摘してくるけど、
スレッドにそぐった質問にはまったく回答ないんだな。
(#3206599) とか (#3207835) とか (#3208016) とかのあたり。
結局自分がわかることとしか答えず
そうでないものは返すにしても個人攻撃しかしない。
内容についての議論ができないやつら。