アカウント名:
パスワード:
これはiPhoneの件と違って、MSのサーバ側にあるログ/パスワードの提供だよね。ログの提供なんて、どこの国のサービス事業者でも裁判所の令状があれば行っていると思うんだけど、米国は違うのか?
パスワードはハッシュ化されてそうだけど、復号化して渡せってことなのかなぁ。(面倒臭そう……)ログがあればパスワードなんて不要な気がするけど、会話ログは保持してないってことなのか?
面倒くさそうも何も、普通は無理じゃろ…。
MicrosftやFacebook、Apple、Googleなんかに、FBI用のソルトで作ったハッシュファイルも作るように要請すれば、FBIはレインボーテーブルを一つ用意すればハッシュ値だけでも大丈夫。
マジレスするとsaltは通常ハッシュ値と同時に手に入るので攻撃者もFBI用レインボーテーブルを作れることになりsaltが無意味になります。
攻撃者がレインボーテーブルを作るコストを払えるなら、ハッシュ値が漏れた時点で終わりなので。
(#2994385)> マジレスするとsaltは通常ハッシュ値と同時に手に入るので攻撃者もFBI用レインボーテーブルを作れることになりsaltが無意味になります。
元コメント的には、通常のパスワードハッシュとは別に(生のパスワードを別保管は許容できないであろうことから)FBI用に別にパスワードハッシュ(固定salt)の情報を用意しておく、というネタだろうから、攻撃者が進入しても、そこを取得できるかってと、通常のパスワードハッシュより難しいだろう(通常運用で使わないので、パスワードだけ処理サーバに通知だけとかな処理でやってるなら、salt固定で、ハッシュテーブルにも記載がないとか入手する方法がすごく狭くなるだろうとか)ので、無意味ってことはないかな。# とれちゃったら一気に弱くはなるので、そうではあるけど
(#2994423)> 攻撃者がレインボーテーブルを作るコストを払えるなら、ハッシュ値が漏れた時点で終わりなので。
ここでキモは、固定saltだと思われます。通常のパスワードハッシュは各人でsaltが違う(+ストレッチ数も違うのがよくある)ので、レインボーテーブルを作るのが大変なので
通常のコストを払えるなら=ハッシュ値が漏れて終りは、ちょっと現実的とは言えないかなと。
# と思うが、現実としてのセキュリティ的にどうだろう...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
何が悪いんだろう……。 (スコア:0)
これはiPhoneの件と違って、MSのサーバ側にあるログ/パスワードの提供だよね。
ログの提供なんて、どこの国のサービス事業者でも裁判所の令状があれば行っていると思うんだけど、米国は違うのか?
パスワードはハッシュ化されてそうだけど、復号化して渡せってことなのかなぁ。(面倒臭そう……)
ログがあればパスワードなんて不要な気がするけど、会話ログは保持してないってことなのか?
ハッシュ化されたパスワードの復号とか (スコア:0)
面倒くさそうも何も、普通は無理じゃろ…。
Re: (スコア:0)
MicrosftやFacebook、Apple、Googleなんかに、FBI用のソルトで作ったハッシュファイルも作るように要請すれば、FBIはレインボーテーブルを一つ用意すればハッシュ値だけでも大丈夫。
Re: (スコア:0)
マジレスするとsaltは通常ハッシュ値と同時に手に入るので攻撃者もFBI用レインボーテーブルを作れることになりsaltが無意味になります。
Re: (スコア:0)
攻撃者がレインボーテーブルを作るコストを払えるなら、ハッシュ値が漏れた時点で終わりなので。
Re:ハッシュ化されたパスワードの復号とか (スコア:1)
(#2994385)
> マジレスするとsaltは通常ハッシュ値と同時に手に入るので攻撃者もFBI用レインボーテーブルを作れることになりsaltが無意味になります。
元コメント的には、通常のパスワードハッシュとは別に(生のパスワードを別保管は許容できないであろうことから)FBI用に別にパスワードハッシュ(固定salt)の情報を用意しておく、というネタだろうから、攻撃者が進入しても、そこを取得できるかってと、通常のパスワードハッシュより難しいだろう(通常運用で使わないので、パスワードだけ処理サーバに通知だけとかな処理でやってるなら、salt固定で、ハッシュテーブルにも記載がないとか入手する方法がすごく狭くなるだろうとか)ので、無意味ってことはないかな。
# とれちゃったら一気に弱くはなるので、そうではあるけど
(#2994423)
> 攻撃者がレインボーテーブルを作るコストを払えるなら、ハッシュ値が漏れた時点で終わりなので。
ここでキモは、固定saltだと思われます。通常のパスワードハッシュは各人でsaltが違う(+ストレッチ数も違うのがよくある)ので、レインボーテーブルを作るのが大変なので
通常のコストを払えるなら=ハッシュ値が漏れて終りは、ちょっと現実的とは言えないかなと。
# と思うが、現実としてのセキュリティ的にどうだろう...
M-FalconSky (暑いか寒い)