パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

生パスワードを平文メールで送ってくる企業」記事へのコメント

  • たまに初回登録時にID:xx PW:xxですって書いてあるメールが来るところはあるけど、それが問題?
    それともパスワード再登録とかパスワード忘れたとかの時にメールでパスワードこれですって送るのが問題?

    まぁ全部問題か。解決策としたらパスワード忘れたときは教えるのではなく強制変更にして、
    期限付きセッションIDを付けたURL送って、期間内にそこから変更してくれでいいんじゃねーの?

    初回登録時はパスワードはセキュリティのため表示しませんでいいと思う
    既にそうしてるところもあったし。どこだったかは忘れたけど

    • by Anonymous Coward

      問題視しているのは
      ・生パスワードを保存しているであろうこと
      ・多くの大学生がこういう製品を自覚なく使っているであろうこと
      メールで送ってくることよりも生パスワードを保存しているっぽいのを問題にしてます。

      技術的には解決は簡単です。salt付きでハッシュ関数を通せばいいんです。

      #元増田なのでAC

      • by Anonymous Coward

        digest-md5みたいなチャレンジ-レスポンス系の認証プロトコルを実装したい場合、生パス無しでどうやります?

        • SSL上で平文パスワードを流す認証とか公開鍵による認証と比べて、公開鍵を使わないチャレンジアンドレスポンスによる認証ってどんなメリットがあるんだろう。
          確かにSSLでないBasic認証よりはましなんだけど、どうにも中途半端に思える。

          Digest認証を選択する理由というとこんな感じだろうか。

          • SSLは負荷が高い
          • SSLは名前ベースのバーチャルホストが使えない
          • 盗聴のハードルは中間者攻撃より低く、無視できないリスクである
          • Digest認証はほとんどのブラウザで簡単に利用できる
          • ブラウザを閉じた場合にセッションが終わるのは許容できる(またはむしろ望ましい)
          • 明示的なログアウト機能は必要ない
          • 復元可能な形でパスワードを保存するリスクは許容できる

          確かにこういうトレードオフはありではあるけどやっぱり微妙。

          • 本題と全然関係ないですが。

            SSLは名前ベースのバーチャルホストが使えない

            Apache httpd の場合は利用できるようですよ。(RFC2817 への対応が 2.2 系で追加されたため、接続時にホストを指定することが可能に)

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...