アカウント名:
パスワード:
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。いや平文で保存しているかどうかはこれではわからんでしょ。アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)でありダメくせぇなこれwww
確かにこれは書き方がよくないですね「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?パスワードを平文に復元できなければ安全ではないのでパスワードを平文に復元できるから危険でもないですよね?
「パスワードが不可逆に保存されているならば安全である」と「パスワードが可逆な状態で保存されているならば危険である」は対偶じゃないから、前者が偽であることは、後者が偽である根拠にはならないよ。
前者が偽であることを否定する人間は、多分ここには誰もいない。
だから、まともな議論をしたいなら、「可逆な状態でパスワードをサーバに保管する」ほうが「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
>「可逆な状態でパスワードをサーバに保管する」ほうが>「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
対偶じゃないから説明はいらないんじゃない?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
平文で保存してるかどうかはわからんのでは。 (スコア:0)
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。
いや平文で保存しているかどうかはこれではわからんでしょ。
アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど
> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり
ダメくせぇなこれwww
Re: (スコア:-1, オフトピック)
確かにこれは書き方がよくないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
Re: (スコア:0)
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?
パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?
Re: (スコア:0)
>パスワードを平文に復元できなければ安全ではないので
>パスワードを平文に復元できるから危険でもないですよね?
そりゃそうだ。
可逆でも不可逆でも暗号の仕方しだいだと思う。
>普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
>そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
このような、定型文を返すようじゃ、本質的なとこは理解してなそうな気がする。
不可逆だとしても、レインボーテーブル攻撃もあるし、それだけじゃ解決にはなっていない。
最後まで書くのは、つまらないので、このやりとりの本質のところを考えてみたほうがいいと思う。なんかで見た文章をその意味を考えずそのまま答えているようじゃ、あかんと思う。
Re:平文で保存してるかどうかはわからんのでは。 (スコア:0)
「パスワードが不可逆に保存されているならば安全である」
と
「パスワードが可逆な状態で保存されているならば危険である」
は対偶じゃないから、前者が偽であることは、後者が偽である根拠にはならないよ。
前者が偽であることを否定する人間は、多分ここには誰もいない。
だから、まともな議論をしたいなら、「可逆な状態でパスワードをサーバに保管する」ほうが
「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
Re: (スコア:0)
>「可逆な状態でパスワードをサーバに保管する」ほうが
>「不可逆な状態で保管する」よりも安全になる例を示していただきたい。
対偶じゃないから説明はいらないんじゃない?