アカウント名:
パスワード:
パスワードを保管しているファイルが盗まれなければ。
たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
今回の実験から、GPUを使うとこのファイルからパスワードを推測することが可能だ、ということが判ります。もし、同じユーザーが別の所でも同じユーザー名とパスワードを使っていたら、きっと侵入できるでしょう。そのテストを行うのには、1サイト1ユーザー名あたり1回のテストで済みます。
100万人のユーザー情報があって、10%が同じパスワードを違う場所でも使っているとするなら、10万人分の情報が手に入ったわけです。
今利用している埼玉りそなが文字数制限短くてちょっと不安なんですよねえ。制限する意味が分からない。DBに平文固定長で保存しているんじゃないかと疑いたくなります。
>銀行は数字4桁の暗唱番号破られたら客の責任
三回ミスると銀行にお電話というパターンがあったのだけど、それは今はなくなったのかな?
ATMで別のカードの暗証番号入力してロックされた俺をお呼びかね?
窓口出頭→キャッシュカード再発行(勿論手数料発生)となりました。
# 給与振込口座で、普段遠地にいるのでダメージ甚大でした(泣)# キャッシュカード発行も一週間かかるといわれたので、当座の現金を印鑑で下ろしましたよ
>窓口出頭→キャッシュカード再発行(勿論手数料発生)となりました。
銀行によってはそうなるんだ。わたしの場合、三井住友でやっちまって、電話でオケ、次からはちゃんとしてね..で済んだけど、金融機関によっては再発行もあるんだね。
昔書いたコメント [srad.jp]ですが
2回間違えると、ものすごく緊張しますね。あるカードの暗証番号を、覚えやすい4桁ってことで「1024」「2048」「4096」「8192」のどれかにしてたのですがめったに使わない口座なのでそのどれだったかをすぐ忘れてしまいます。候補が4つでチャンスが3回なのでものすごい博打です。#3回間違えたことが1回、3回目で成功したことが数度…
2回間違えると、ものすごく緊張しますね。
あるカードの暗証番号を、覚えやすい4桁ってことで「1024」「2048」「4096」「8192」のどれかにしてたのですがめったに使わない口座なのでそのどれだったかをすぐ忘れてしまいます。候補が4つでチャンスが3回なのでものすごい博打です。
#3回間違えたことが1回、3回目で成功したことが数度…
というわけで3回間違えたことが何度かあるの
昔はカードの磁気ストライプ部に暗証番号が入ってましたからね。窓口にライターがなければ再発行するしかなかったのでしょう。今はカード側には記録されておらず、サーバー側での管理なので再発行は必要ないのかと。
親コメのAC [srad.jp]ですが、そのコメントのリンク [bk.mufg.jp]で示したとおり、三菱東京UFJ銀行が、暗証番号3回ミスってロックした場合、「磁気カードの場合はカード再発行」「ICカードの場合は窓口で対応可能」になるのは昔話ではなく今現在の話です。
#そもそも、三菱東京UFJ銀行で、って書いてる時点でそれほどの昔話じゃないわけですが…
> 昔はカードの磁気ストライプ部に暗証番号が入ってましたからね。
1987年以前 [google.co.jp]の話をしているのだと思いますが、その時問題になったのは「カードに暗証番号が記録されていて」「ATMはカードに記録
三菱(ry は今でも再発行なんですか。再発行すると何が変わるんでしょうね。口座番号以外に何か記録されているのだろうか…再発行フラグか何かあるのかな。
昔は磁気データの先頭部分に暗証番号が入っていて、それが問題になって0フィルされた後も別の位置に暗号化されて入ってたりしましたけど、それがまだ尾を引いているのかな…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
総当たりチェックなど・・・・ (スコア:3, 興味深い)
パスワードの総当たりなど、3回試行して失敗したら30分ロックアウトするだけで、この手の物は簡単に防げるという認識は甘いでしょうか。
Re: (スコア:4, 興味深い)
パスワードを保管しているファイルが盗まれなければ。
たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
今回の実験から、GPUを使うとこのファイルからパスワードを推測することが可能だ、ということが判ります。もし、同じユーザーが別の所でも同じユーザー名とパスワードを使っていたら、きっと侵入できるでしょう。そのテストを行うのには、1サイト1ユーザー名あたり1回のテストで済みます。
100万人のユーザー情報があって、10%が同じパスワードを違う場所でも使っているとするなら、10万人分の情報が手に入ったわけです。
fjの教祖様
Re: (スコア:0)
今利用している埼玉りそなが文字数制限短くてちょっと不安なんですよねえ。
制限する意味が分からない。
DBに平文固定長で保存しているんじゃないかと疑いたくなります。
Re: (スコア:0)
Re: (スコア:1)
>銀行は数字4桁の暗唱番号破られたら客の責任
三回ミスると銀行にお電話というパターンがあったのだけど、
それは今はなくなったのかな?
Re: (スコア:0)
ATMで別のカードの暗証番号入力してロックされた俺をお呼びかね?
窓口出頭→キャッシュカード再発行(勿論手数料発生)となりました。
# 給与振込口座で、普段遠地にいるのでダメージ甚大でした(泣)
# キャッシュカード発行も一週間かかるといわれたので、当座の現金を印鑑で下ろしましたよ
Re: (スコア:1)
>窓口出頭→キャッシュカード再発行(勿論手数料発生)となりました。
銀行によってはそうなるんだ。
わたしの場合、三井住友でやっちまって、電話でオケ、次からはちゃんとしてね..で済んだけど、金融機関によっては再発行もあるんだね。
Re: (スコア:0)
昔書いたコメント [srad.jp]ですが
というわけで3回間違えたことが何度かあるの
Re:総当たりチェックなど・・・・ (スコア:0)
昔はカードの磁気ストライプ部に暗証番号が入ってましたからね。
窓口にライターがなければ再発行するしかなかったのでしょう。
今はカード側には記録されておらず、サーバー側での管理なので再発行は必要ないのかと。
Re: (スコア:0)
親コメのAC [srad.jp]ですが、そのコメントのリンク [bk.mufg.jp]で示したとおり、三菱東京UFJ銀行が、暗証番号3回ミスってロックした場合、「磁気カードの場合はカード再発行」「ICカードの場合は窓口で対応可能」になるのは昔話ではなく今現在の話です。
#そもそも、三菱東京UFJ銀行で、って書いてる時点でそれほどの昔話じゃないわけですが…
> 昔はカードの磁気ストライプ部に暗証番号が入ってましたからね。
1987年以前 [google.co.jp]の話をしているのだと思いますが、その時問題になったのは「カードに暗証番号が記録されていて」「ATMはカードに記録
Re: (スコア:0)
三菱(ry は今でも再発行なんですか。
再発行すると何が変わるんでしょうね。
口座番号以外に何か記録されているのだろうか…
再発行フラグか何かあるのかな。
昔は磁気データの先頭部分に暗証番号が入っていて、それが問題になって0フィルされた後も
別の位置に暗号化されて入ってたりしましたけど、それがまだ尾を引いているのかな…