アカウント名:
パスワード:
共通すると、なぜわかった。もしや、平で保存しておるのでは?
Microsoftの場合はわかりませんが、流出したパスワードを統計処理しているケースもあるようです。
最もよく使われている危険なパスワードトップ25リスト、年度ごとにパスワードにも流行があることも明らかに - GIGAZINE [gigazine.net]
別に平文で保存して無くても、自社DBに対して既知の簡単なパスワードリストを使って疑似攻撃かけることには問題は無かろう。人間がやるんじゃなくて、あくまでも自動的にやって自動的に通知とかじゃないといろいろと問題はあるだろうけど。
ログインに失敗したパスワードのリストとか平文で保存して集めてるかもよ
適切な権限を持った人間なら確認できるようになってるんでしょ。あるいは流出したパスワードのリストを調べたとか。
アカウント情報との紐づけが不可能な状態で、入力されたパスワードを平文で収集する事は何ら問題ないし、平文保存自体常に問題がある訳でもない。パスワードのセキュリティレベルを他の個人情報と同レベルとするポリシーの場合、パスワードのみ特別扱いで不可逆の処理を加えるのはある意味おまじないでしかない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
多くのユーザに共通するパスワード (スコア:0)
共通すると、なぜわかった。もしや、平で保存しておるのでは?
Re:多くのユーザに共通するパスワード (スコア:1)
Microsoftの場合はわかりませんが、流出したパスワードを統計処理しているケースもあるようです。
最もよく使われている危険なパスワードトップ25リスト、年度ごとにパスワードにも流行があることも明らかに - GIGAZINE [gigazine.net]
Re:多くのユーザに共通するパスワード (スコア:1)
別に平文で保存して無くても、自社DBに対して既知の簡単なパスワードリストを使って疑似攻撃かけることには問題は無かろう。人間がやるんじゃなくて、あくまでも自動的にやって自動的に通知とかじゃないといろいろと問題はあるだろうけど。
Re: (スコア:0)
ログインに失敗したパスワードのリストとか平文で保存して集めてるかもよ
Re: (スコア:0)
適切な権限を持った人間なら確認できるようになってるんでしょ。
あるいは流出したパスワードのリストを調べたとか。
Re: (スコア:0)
アカウント情報との紐づけが不可能な状態で、入力されたパスワードを平文で収集する事は何ら問題ないし、
平文保存自体常に問題がある訳でもない。
パスワードのセキュリティレベルを他の個人情報と同レベルとするポリシーの場合、
パスワードのみ特別扱いで不可逆の処理を加えるのはある意味おまじないでしかない。