パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三井住友カード、パスコードを入力しないと使えないクレジットカードを発表」記事へのコメント

  • パスコードが埋め込んであるということは、磁気ストライプに暗証番号記録したカードと同じ

    • さすがにhashになってるだろうし同じじゃないでしょう
      磁気ストライプはアクセスしやすいですし

      • by Anonymous Coward

        桁数はそんなに多くなさそうですし、カードごとに
        ハッシュの計算方法が同じなら、割り出すのは難しくなさそう

        • ソルトといっしょにハッシュ取るでしょうよ
          もちろんそれでも難しくは無いでしょうが、ストレッチとかすればそこそこ行けるんじゃないですかね
          丸見えの磁気コードに暗号化もしないで入れてるのと比べるのは流石にどうかな、と
          生パスワードが漏れて別件に使用されるのも回避できますし

          イヤ知らんですけどね
          酷いもんかも知れませんが…

          • by Anonymous Coward

            リンク先を見ると、パスコードは数字(1-5?、0-9?)8桁と使用できる文字は少なく、カードに詰めるバッテリー、プロセッサーによっては
            ストレッチングの回数はそこまで増やせなさそう(パスコード入力から有効化までに時間がかかる+バッテリーがすぐ切れる)なので、
            盗んでからパスワードを割り出すのにそんなに時間はかからないのではないかと思ってました。

            # 暗号化されていない丸見えの磁気コードよりは安全でも、
            # 盗まれたのに気づいてカード会社に無効化してもらうまでの時間が稼げるのかが不安

            • そうですね、ストレッチングと言ってもCPUパワーが潤沢とは思えませんしね
              クラック用マシンの方が圧倒的に演算能力が高くて…とかありそうです。
              本気の犯罪者集団に耐えられるかっていうと難しいでしょうな

              専用チップで普通のPCだったらやたら時間のかかるハッシュアリゴリズムを実装するとかができればやってみる価値あるのかも
              # そんなのがあるかどうかは考えてない

              親コメント

ソースを見ろ -- ある4桁UID

処理中...