アカウント名:
パスワード:
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。いや平文で保存しているかどうかはこれではわからんでしょ。アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)でありダメくせぇなこれwww
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?パスワードを平文に復元できなければ安全ではないのでパスワードを平文に復元できるから危険でもないですよね?
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
> 可逆でも漏れても大丈夫な方法はあるし
ねーよ。どんな魔法だよ
ちょっと、この人大丈夫?その考えはかなり無知であり危険で、その手の業務を任せられないと言わざるをえない。
>普通がなにかわからない
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。よって不可逆にすることで漏洩の可能性を何万倍にも薄めることができています。可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
>可逆でも漏れても大丈夫な方法はある
そういう方法があれば採用すればいいが、その方法を使うことが可逆にしておく理由にはならない。どっちもやればいい。返答になっていない。
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。
いや、不可逆もありますし、平文もありましたよ。とくにパスワードが漏えいして且つ利用可能なものは平文だったので「ほぼ全てが可逆なシステム」ではなかったはずです。
可逆より不可逆のほうが圧倒的に採用例が多いので
1行目ではほぼ全てが可逆3行目になると圧倒的に採用例が多い。
そういう方法があれば採用すればいいが、その方法を使うことが可逆にしておく理由にはならない。
要件・要求次第です。
「可逆にしておく理由」は述べていません。可逆だから危険、不可逆だから危険ではないというだけです。
>可逆だから危険、不可逆だから危険ではないというだけです。可逆だから安全、不可逆だから危険ではないというだけです。
>可逆だから危険、不可逆だから危険ではないというだけです。
可逆で駄目だったけど不可逆だったから助かったというケースは多く存在しえますが、不可逆で駄目だったけど可逆だったから助かったというケースは存在しません。つまり、可逆なシステムと不可逆なシステムを比較した場合、常に不可逆なシステムの方がマシです。しかも誤差レベルの話ではなく有意にマシです。
不可逆なシステムが常にあらゆる危険に対して安全であるのかどうかについては、この場合全く関係ありません。北朝鮮が核を撃ってきたらみんな死ぬんだからというのは目の前を戸締まりしない理由にはなりません。
ここまで斜め上の勘違いして話についてこれてない馬鹿がスラドに2人もいるとは思えないんだけど自演乙って言えばええん?
しばらく前からスラドのコメント欄で相手に説明させて遊んでるやつの自演だろ
誰かが可逆危険不可逆安全というコメントにおかしいことに気が付いてつっこむじゃん?で#3206403=#3206395がさらに説明するじゃん?
けど、可逆危険不可逆安全というコメントを書いたヤツは自分が正しいと思っちゃってるから自分は曲げないばかりかつっこみやら#3206403=#3206395がさらに説明してもそれをキチガイ扱いする。
可逆危険不可逆安全というコメントを書く時点でおかしいんだけど、こういうやつは人のことを聞かないからずっと間違ったままの知識しかない。周りがなにを言ってもきっと無駄。
進歩のないやつはもう進まない。
ツリーと全然関係ないけど、コメント参照にマウスオーバーでポップアップぐらいつけようぜ#3206501とかさ…読みづらいよ
原理的にないぞ。パスワードが正しければ本人だという前提があるんだから。
> 不可逆でも大丈夫でない方法はある
それは可逆暗号化したパスワードでも大丈夫ではない場合に限られる。生兵法をやめろ。
可逆でも漏れても大丈夫な方法はある
「しかし、その方法をここに記すには余白が狭すぎる」
こう書いておけばいいのに。
一般的な対応のハッシュ化よりかなり危険でしょ。# 何かのネタ?
パスワードを平文に復元できなければ安全ではないのでパスワードを平文に復元できるから危険でもないですよね?
この2行がすべてなのにね。なぜその処理が必要かという単純な意味がわからないで処理を入れようとするからわからなくなるんだろうな。
キチガイさんもうゴールデンウィークは終わりだよーーーーあの世に還ってくれーーーーー
「パスワードを平文に復元できなければ安全ではないので パスワードを平文に復元できるから危険でもないですよね?」がキチガイ?これの意味がわからない?
よくあるセキュリティ対策しているから安全そうじゃないから危険としか判断できないなにが安全なのかなにが危険なのかわからない人がたまにいるけど苦労します。
違います、あなたがキチガイです
(#3206382)もおかしいね。
>「パスワードを平文に復元できなければ安全ではないので> パスワードを平文に復元できるから危険でもないですよね?」>がキチガイ?これの意味がわからない?
という質問に対して
>違います、あなたがキチガイです
という(#3206382)の返答。
もはや、コメントがどうこうじゃなくて人がどうこうとしか言えなくなってしまっている。
横からで悪いけど、これだけ説明されて分からないなら、パスワードの関わるシステムに一切関与しないか、脳死でハッシュ化して♡この件に関しては本当に脳死で「パスワードは平文や可逆で保存しない。必ずハッシュ化する」とお題目みたいに唱えてても絶対間違いないとこだから♡
>横からで悪いけど、これだけ説明されて分からないなら、>パスワードの関わるシステムに一切関与しないか、脳死でハッシュ化して♡
ほんと。いくら間違っていると言ってもわからないんだから終わってるな。
セキュリティのこと怪しいコメントしているヤツにわざと質問するとだいたい答えてこないから無知がすぐわかる。
こういう怪しいコメント書いているようなヤツがいろんな会社でセキュリティ対策をやっているんだろうなぁ。
でこういうヤツほど勉強しないからぶち抜かれるんだよね。
お前が一番危険だよ。
これももはや、コメントがどうこうじゃなくて人がどうこうとしか言えなくなってしまっている。
自分の言うことを認める人以外は認めないんでしょうか?
もうGW終わったぞ釣りなら余所でやれ
一般的なセキュリティ対策のこと指摘してるだけなのに釣りとしか思わないなんて。一般人てこういうレベルでセキュリティやってんだろうな。
指摘にすらなってないから方方からバカ扱いされてるんだろうが。マジで釣りなら余所でやれ。誰も荒らしなんざ呼んじゃいないんだよ。
指摘にすらなってないから
可逆だから危険ではない。不可逆だから安全ではない。というのが指摘でしょ?
これがわからない?
お盆なら兎も角、ゴールデンウイークに来るような非常識な霊魂相手に何言ってやがる(え
真面目にキチガイの相手して楽しい?
君が言う不可逆のケースでも適用可能な攻撃は全て可逆の場合にもより容易に適用できるので論外話のスタートラインにも立ってないから出直して
#3206302ですが
>#3206302のつっこみは、>可逆であれば、必ず復元できると勘違いしていないかいという話でしょ?>当然ながら、当事者は復元可能だけど、当事者でなければそれを復元できる保証はないよね。>っていう話だ・・・
それは前提でしょう。そこすら説明が必要な人達なのですか。びっくりです。てか#3206519の言っていることすら理解できない可能性も。
ちなみに不可逆暗号についてはGoogleで検索するだけで復元可能なものもある。鍵とか塩とかあれば別ですけどね。あとはアルゴリズムの複雑さですね。
なんかずっと自演し続けてるけど、まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
「ハッシュは安全。不可逆だから漏れてもパスワードがわからない」と思ってることが危険と言われてもわからないのが恐怖。
やっぱ君だけ理解してないじゃん
ハッシュは安全と信じてるのがこえー
ハッシュと呼んだ時に君以外の全員が暗黙的に仮定しているであろうSHA-2はおろか、弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。そもそもSHA-2に原像攻撃が通るほどハッシュ関数が脆弱だったらSSLの数学的基盤が崩れてインターネットは崩壊する。
この説明で分からんようなら1年くらいかけて勉強し直すまでレス禁止。
度しがたい馬鹿でも分かるように一言で答えちゃうねー
不可逆だから漏れてもパスワードがわからない
そうだよ
>弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。MD5は辞書攻撃で抜けます。
え?
>SSLの数学的基盤が崩れてインターネットは崩壊する。そういえばSSLは可逆暗号ですね。
は?
何いってんだこいつ……
自分が理解できないと、書いている人が悪いと解釈するヤツね。
#3206654が理解できないんじゃないとは思うけど・・・?
たった2行でここまで何もかも分かってないのが露呈するのスゲーな。逆にこれが釣りだったらある意味センスあるわ。
>MD5は辞書攻撃で抜けます。
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。そのケースはそもそも内部からパスワードが漏れる必要すらない。ログインフォームに正面から12345678って入れたらログインできるようなものにセキュリティを論ずる意味はない。もちろん平文で保存すれば回避できる問題でもないため全くお話にならない。
>そういえばSSLは可逆暗号ですね。
SSLのどこでハッシュが使われているのか根本的に理解していない芸術的なまでの馬鹿レス。鍵交換から共通鍵による暗号化・復号化の処理には、ハッシュは全く関係ない。ハッシュが使われているのは電子署名の部分。
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたのでMD5は辞書攻撃で抜ける話をしたまでです。
そのケースはそもそも内部からパスワードが漏れる必要すらない。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたので
辞書攻撃を原像攻撃とは言わない。それは「平文が先に判明している場合」に区分される。MD5どころかSHA2だろうがSHA3だろうが辞書攻撃でアウトなパスワードを使っていれば破られる。が、それを「ハッシュが破られた」とは呼ばない。平文パスワードが先に判明していてそっちから当たっていって正解にたどり着いてしまうようなケースなら、ハッシュ化パスワードが漏洩する必要すらない。正面からログインフォームにそれを入力すれば入れてしまう。意味分かる?また、そのケースでハッシュ化せずにパスワードを保存していたとしても安全性は上がらない(当然辞書に当たらないパスワードも全部漏れるだけである)ため、結局ハッシュ化しないよりはした方が遙かに安全という現実には違いはない。
ここまで説明しても理解できないんだろうなぁこいつ。
「パスワードが不可逆に保存されているならば安全である」と「パスワードが可逆な状態で保存されているならば危険である」は対偶じゃないから、前者が偽であることは、後者が偽である根拠にはならないよ。
前者が偽であることを否定する人間は、多分ここには誰もいない。
だから、まともな議論をしたいなら、「可逆な状態でパスワードをサーバに保管する」ほうが「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
>「可逆な状態でパスワードをサーバに保管する」ほうが>「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
対偶じゃないから説明はいらないんじゃない?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
平文で保存してるかどうかはわからんのでは。 (スコア:0)
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。
いや平文で保存しているかどうかはこれではわからんでしょ。
アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど
> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり
ダメくせぇなこれwww
Re: (スコア:0)
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?
パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?
Re:平文で保存してるかどうかはわからんのでは。 (スコア:1)
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
Re: (スコア:0)
> 可逆でも漏れても大丈夫な方法はあるし
ねーよ。どんな魔法だよ
Re: (スコア:0)
ちょっと、この人大丈夫?
その考えはかなり無知であり危険で、その手の業務を任せられないと言わざるをえない。
>普通がなにかわからない
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。
よって不可逆にすることで漏洩の可能性を何万倍にも薄めることができています。
可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
>可逆でも漏れても大丈夫な方法はある
そういう方法があれば採用すればいいが、
その方法を使うことが可逆にしておく理由にはならない。
どっちもやればいい。
返答になっていない。
Re: (スコア:0)
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。
いや、不可逆もありますし、平文もありましたよ。
とくにパスワードが漏えいして且つ利用可能なものは平文だったので
「ほぼ全てが可逆なシステム」ではなかったはずです。
可逆より不可逆のほうが圧倒的に採用例が多いので
1行目ではほぼ全てが可逆
3行目になると圧倒的に採用例が多い。
そういう方法があれば採用すればいいが、
その方法を使うことが可逆にしておく理由にはならない。
要件・要求次第です。
「可逆にしておく理由」は述べていません。
可逆だから危険、不可逆だから危険ではないというだけです。
Re: (スコア:0)
面白いのでこっちにもコメント。
#3206346さんは、完全にからかわれていますよ 笑
>可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
普通という言い方はよくありませんねぇ。
なぜ、安全なのか説明をしてくださいと言われ、多くのサイトで使われているから安全ですというのは正しくないのは、いうまでもないでしょう。
それは、不可逆が啓蒙される以前にさかのぼった時、同じ回答をして今の有様があるわけですから。
こういう理由から安全だという言い方じゃないといけないわけです。
セキュリティの説明をしている本などでは、いちいち本質的な部分まで解説していません
Re: (スコア:0)
>可逆だから危険、不可逆だから危険ではないというだけです。
可逆だから安全、不可逆だから危険ではないというだけです。
Re: (スコア:0)
>可逆だから危険、不可逆だから危険ではないというだけです。
可逆で駄目だったけど不可逆だったから助かったというケースは多く存在しえますが、不可逆で駄目だったけど可逆だったから助かったというケースは存在しません。
つまり、可逆なシステムと不可逆なシステムを比較した場合、常に不可逆なシステムの方がマシです。
しかも誤差レベルの話ではなく有意にマシです。
不可逆なシステムが常にあらゆる危険に対して安全であるのかどうかについては、この場合全く関係ありません。
北朝鮮が核を撃ってきたらみんな死ぬんだからというのは目の前を戸締まりしない理由にはなりません。
Re: (スコア:0)
ここまで斜め上の勘違いして話についてこれてない馬鹿がスラドに2人もいるとは思えないんだけど自演乙って言えばええん?
Re: (スコア:0)
しばらく前からスラドのコメント欄で相手に説明させて遊んでるやつの自演だろ
Re: (スコア:0)
誰かが可逆危険不可逆安全というコメントにおかしいことに気が付いてつっこむじゃん?
で#3206403=#3206395がさらに説明するじゃん?
けど、可逆危険不可逆安全というコメントを書いたヤツは自分が正しいと思っちゃってるから
自分は曲げないばかりかつっこみやら#3206403=#3206395がさらに説明してもそれをキチガイ扱いする。
可逆危険不可逆安全というコメントを書く時点でおかしいんだけど、こういうやつは人のことを
聞かないからずっと間違ったままの知識しかない。周りがなにを言ってもきっと無駄。
進歩のないやつはもう進まない。
Re:平文で保存してるかどうかはわからんのでは。 (スコア:2)
ツリーと全然関係ないけど、コメント参照にマウスオーバーでポップアップぐらいつけようぜ
#3206501
とかさ…読みづらいよ
Re: (スコア:0)
> 可逆でも漏れても大丈夫な方法はあるし
原理的にないぞ。パスワードが正しければ本人だという前提があるんだから。
> 不可逆でも大丈夫でない方法はある
それは可逆暗号化したパスワードでも大丈夫ではない場合に限られる。
生兵法をやめろ。
Re: (スコア:0)
可逆でも漏れても大丈夫な方法はある
「しかし、その方法をここに記すには余白が狭すぎる」
こう書いておけばいいのに。
Re: (スコア:0)
一般的な対応のハッシュ化よりかなり危険でしょ。
# 何かのネタ?
Re: (スコア:0)
パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?
この2行がすべてなのにね。
なぜその処理が必要かという単純な意味がわからないで処理を入れようとするからわからなくなるんだろうな。
Re: (スコア:0)
キチガイさんもうゴールデンウィークは終わりだよーーーー
あの世に還ってくれーーーーー
Re: (スコア:0)
キチガイさんもうゴールデンウィークは終わりだよーーーー
あの世に還ってくれーーーーー
「パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?」
がキチガイ?これの意味がわからない?
よくあるセキュリティ対策しているから安全そうじゃないから危険
としか判断できない
なにが安全なのかなにが危険なのかわからない人がたまにいるけど苦労します。
Re: (スコア:0)
違います、あなたがキチガイです
Re: (スコア:0)
(#3206382)もおかしいね。
>「パスワードを平文に復元できなければ安全ではないので
> パスワードを平文に復元できるから危険でもないですよね?」
>がキチガイ?これの意味がわからない?
という質問に対して
>違います、あなたがキチガイです
という(#3206382)の返答。
もはや、コメントがどうこうじゃなくて
人がどうこうとしか言えなくなってしまっている。
Re: (スコア:0)
横からで悪いけど、これだけ説明されて分からないなら、パスワードの関わるシステムに一切関与しないか、脳死でハッシュ化して♡
この件に関しては本当に脳死で「パスワードは平文や可逆で保存しない。必ずハッシュ化する」とお題目みたいに唱えてても絶対間違いないとこだから♡
Re: (スコア:0)
>横からで悪いけど、これだけ説明されて分からないなら、
>パスワードの関わるシステムに一切関与しないか、脳死でハッシュ化して♡
ほんと。
いくら間違っていると言ってもわからないんだから終わってるな。
Re: (スコア:0)
セキュリティのこと怪しいコメントしているヤツに
わざと質問するとだいたい答えてこないから無知がすぐわかる。
こういう怪しいコメント書いているようなヤツがいろんな会社で
セキュリティ対策をやっているんだろうなぁ。
でこういうヤツほど勉強しないからぶち抜かれるんだよね。
Re: (スコア:0)
お前が一番危険だよ。
Re: (スコア:0)
お前が一番危険だよ。
これももはや、コメントがどうこうじゃなくて
人がどうこうとしか言えなくなってしまっている。
自分の言うことを認める人以外は認めないんでしょうか?
Re: (スコア:0)
もうGW終わったぞ
釣りなら余所でやれ
Re: (スコア:0)
もうGW終わったぞ
釣りなら余所でやれ
一般的なセキュリティ対策のこと指摘してるだけなのに釣りとしか思わないなんて。
一般人てこういうレベルでセキュリティやってんだろうな。
Re: (スコア:0)
指摘にすらなってないから方方からバカ扱いされてるんだろうが。
マジで釣りなら余所でやれ。誰も荒らしなんざ呼んじゃいないんだよ。
Re: (スコア:0)
指摘にすらなってないから
可逆だから危険ではない。
不可逆だから安全ではない。
というのが指摘でしょ?
これがわからない?
Re: (スコア:0)
お盆なら兎も角、ゴールデンウイークに来るような非常識な霊魂相手に何言ってやがる(え
Re: (スコア:0)
>パスワードを平文に復元できなければ安全ではないので
>パスワードを平文に復元できるから危険でもないですよね?
そりゃそうだ。
可逆でも不可逆でも暗号の仕方しだいだと思う。
>普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
>そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
このような、定型文を返すようじゃ、本質的なとこは理解してなそうな気がする。
不可逆だとしても、レインボーテーブル攻撃もあるし、それだけじゃ解決にはなっていない。
最後まで書くのは、つまらないので、このやりとりの本質のところを考えてみたほうがいいと思う。なんかで見た文章をその意味を考えずそのまま答えているようじゃ、あかんと思う。
Re: (スコア:0)
真面目にキチガイの相手して楽しい?
Re: (スコア:0)
君が言う不可逆のケースでも適用可能な攻撃は全て可逆の場合にもより容易に適用できるので論外
話のスタートラインにも立ってないから出直して
Re: (スコア:0)
こんなに面白いのにつっこまずにいれますか!(いや無理)
あれれ?
あんだけ、詳しく書いても理解できていないの??
本当は、気づいているのに、気づいてないふりでもしてるんじゃ 笑
通りすがりなのにここまで親切に解説をするはめになるとはなぁ。。。
#3206302のつっこみは、
可逆であれば、必ず復元できると勘違いしていないかいという話でしょ?
当然ながら、当事者は復元可能だけど、当事者でなければそれを復元できる保証はないよね。
っていう話だ・・・
最後まで言わせないでくれよ。まったく。
Re: (スコア:0)
#3206302ですが
>#3206302のつっこみは、
>可逆であれば、必ず復元できると勘違いしていないかいという話でしょ?
>当然ながら、当事者は復元可能だけど、当事者でなければそれを復元できる保証はないよね。
>っていう話だ・・・
それは前提でしょう。そこすら説明が必要な人達なのですか。びっくりです。
てか#3206519の言っていることすら理解できない可能性も。
ちなみに不可逆暗号についてはGoogleで検索するだけで復元可能なものもある。
鍵とか塩とかあれば別ですけどね。あとはアルゴリズムの複雑さですね。
Re: (スコア:0)
なんかずっと自演し続けてるけど、まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
Re: (スコア:0)
まずハッシュというものが何か理解できてないのがお前だけなので爆浮きだぞ
「ハッシュは安全。不可逆だから漏れてもパスワードがわからない」
と思ってることが危険と言われてもわからないのが恐怖。
Re: (スコア:0)
やっぱ君だけ理解してないじゃん
Re: (スコア:0)
やっぱ君だけ理解してないじゃん
ハッシュは安全と信じてるのがこえー
Re: (スコア:0)
ハッシュと呼んだ時に君以外の全員が暗黙的に仮定しているであろうSHA-2はおろか、弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。
そもそもSHA-2に原像攻撃が通るほどハッシュ関数が脆弱だったらSSLの数学的基盤が崩れてインターネットは崩壊する。
この説明で分からんようなら1年くらいかけて勉強し直すまでレス禁止。
Re: (スコア:0)
度しがたい馬鹿でも分かるように一言で答えちゃうねー
不可逆だから漏れてもパスワードがわからない
そうだよ
Re: (スコア:0)
>弱いゴミハッシュと言われているMD5ですらいまだに原像攻撃は成功していない。
MD5は辞書攻撃で抜けます。
え?
>SSLの数学的基盤が崩れてインターネットは崩壊する。
そういえばSSLは可逆暗号ですね。
は?
何いってんだこいつ……
Re: (スコア:0)
何いってんだこいつ……
自分が理解できないと、書いている人が悪いと解釈するヤツね。
#3206654が理解できないんじゃないとは思うけど・・・?
Re: (スコア:0)
たった2行でここまで何もかも分かってないのが露呈するのスゲーな。逆にこれが釣りだったらある意味センスあるわ。
>MD5は辞書攻撃で抜けます。
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。
そのケースはそもそも内部からパスワードが漏れる必要すらない。ログインフォームに正面から12345678って入れたらログインできるようなものにセキュリティを論ずる意味はない。
もちろん平文で保存すれば回避できる問題でもないため全くお話にならない。
>そういえばSSLは可逆暗号ですね。
SSLのどこでハッシュが使われているのか根本的に理解していない芸術的なまでの馬鹿レス。
鍵交換から共通鍵による暗号化・復号化の処理には、ハッシュは全く関係ない。ハッシュが使われているのは電子署名の部分。
Re: (スコア:0)
こいつの言うところの辞書攻撃とやらがもはや何を指しているかすら疑問だが、一般的な意味の辞書攻撃の話をしているなら、辞書に既にあるようなパスワードを使っているようなユーザに関してはMD5に限らず何を講じても駄目。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたので
MD5は辞書攻撃で抜ける話をしたまでです。
そのケースはそもそも内部からパスワードが漏れる必要すらない。
ここでは「MD5ですらいまだに原像攻撃は成功していない。」について話をしていたので
Re: (スコア:0)
辞書攻撃を原像攻撃とは言わない。それは「平文が先に判明している場合」に区分される。
MD5どころかSHA2だろうがSHA3だろうが辞書攻撃でアウトなパスワードを使っていれば破られる。
が、それを「ハッシュが破られた」とは呼ばない。
平文パスワードが先に判明していてそっちから当たっていって正解にたどり着いてしまうようなケースなら、ハッシュ化パスワードが漏洩する必要すらない。正面からログインフォームにそれを入力すれば入れてしまう。意味分かる?
また、そのケースでハッシュ化せずにパスワードを保存していたとしても安全性は上がらない(当然辞書に当たらないパスワードも全部漏れるだけである)ため、結局ハッシュ化しないよりはした方が遙かに安全という現実には違いはない。
ここまで説明しても理解できないんだろうなぁこいつ。
Re: (スコア:0)
ここにぶら下げればよりごうごうと燃えてくれそうだから
ここに投下することにしよう。
ハッシュ漏れたらやばいよね。
ハッシュからパスばれちゃうもの
※ただし・・(以下略
Re: (スコア:0)
「パスワードが不可逆に保存されているならば安全である」
と
「パスワードが可逆な状態で保存されているならば危険である」
は対偶じゃないから、前者が偽であることは、後者が偽である根拠にはならないよ。
前者が偽であることを否定する人間は、多分ここには誰もいない。
だから、まともな議論をしたいなら、「可逆な状態でパスワードをサーバに保管する」ほうが
「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
Re: (スコア:0)
>「可逆な状態でパスワードをサーバに保管する」ほうが
>「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
対偶じゃないから説明はいらないんじゃない?