アカウント名:
パスワード:
こういう事件を見るたびになぜパスワードを平文保存するのか理解できないのだが。ハッシュ化するのが常識じゃないのか?
チャレンジレスポンス認証に使いたい場合、とか。
http://www.ipa.go.jp/security/awareness/administrator/remote/capter6/5.html [ipa.go.jp]
昔ハッシュしかないのに「APOP対応お願い☆」と言われた困った覚えがある。
あー、安直すぎですね。実際はこうなのですよ。http://www.ipa.go.jp/security/awareness/vendor/programmingv1/b09_01.html [ipa.go.jp]
3. クライアントプログラムは入力されたパスワードのメッセージダイジェストを計算する。4. クライアントプログラムは,3. で計算したメッセージダイジェストと 1. で与えられた「チャレンジ」を合わせたものを元のデータとしてもう一度メッセージダイジェストを計算する。これは「レスポンス」と呼ばれる(注1)。
4. クライアントプログラムは,3. で計算したメッセージダイジェストと 1. で与えられた「チャレンジ」を合わせたものを元のデータとしてもう一度メッセージダイジェストを計算する。
この実装だと、サーバー側で持っているハッシュ化された文字列を入手されると、それを使ってサービスにログインできてしまうので、生パスワードを入手されたのと実質同じことになります。ハッシュ化したメリットは、他のサービスでパスワードを使いまわしていても被害が及ばないという程度ではないでしょうか。
ちなみに、元コメントで触れられているAPOPは、生パスワードとチャレンジ文字列を合わせてレスポンスを生成するプロトコルなので、サーバー側で生パスワードを持つ必要があります。
UNIX でパスワードをハッシュ化することで安全性が増加していたのは、経路を盗み見るのが困難だったからです。無料サービスで https を使うことが予算的に厳しい場合、ネットワーク上に生パスワードを流すわけにはいかず、チャレンジレスポンス方式を使うことになりますが、その場合、結局サーバー側で保持しているのは「見られたらログインされてしまう文字列」であって、それにハッシュがかかっていたとしても安心できるものではありません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
パスワードを平文保存 (スコア:0)
こういう事件を見るたびになぜパスワードを平文保存するのか理解できないのだが。
ハッシュ化するのが常識じゃないのか?
Re: (スコア:0)
チャレンジレスポンス認証に使いたい場合、とか。
http://www.ipa.go.jp/security/awareness/administrator/remote/capter6/5.html [ipa.go.jp]
昔ハッシュしかないのに「APOP対応お願い☆」と言われた困った覚えがある。
Re: (スコア:0)
あー、安直すぎですね。実際はこうなのですよ。
http://www.ipa.go.jp/security/awareness/vendor/programmingv1/b09_01.html [ipa.go.jp]
Re:パスワードを平文保存 (スコア:1)
この実装だと、サーバー側で持っているハッシュ化された文字列を入手されると、それを使ってサービスにログインできてしまうので、生パスワードを入手されたのと実質同じことになります。ハッシュ化したメリットは、他のサービスでパスワードを使いまわしていても被害が及ばないという程度ではないでしょうか。
ちなみに、元コメントで触れられているAPOPは、生パスワードとチャレンジ文字列を合わせてレスポンスを生成するプロトコルなので、サーバー側で生パスワードを持つ必要があります。
UNIX でパスワードをハッシュ化することで安全性が増加していたのは、経路を盗み見るのが困難だったからです。無料サービスで https を使うことが予算的に厳しい場合、ネットワーク上に生パスワードを流すわけにはいかず、チャレンジレスポンス方式を使うことになりますが、その場合、結局サーバー側で保持しているのは「見られたらログインされてしまう文字列」であって、それにハッシュがかかっていたとしても安心できるものではありません。