パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に」記事へのコメント

  • 暗号化とハッシュ化で混乱が起こっている。
    それに伴い「平文で保存」「復元可能な(暗号化した)保存」「復元不可能な(ハッシュ化した)保存」で混乱が起こっているように見える。
    いくらなんでも平文保存はない。
    パスワードはハッシュ化が基本だが、暗号化しているシステムも設計次第でなくはないだろう。

    • by Anonymous Coward

      復号可能だったらいくら暗号化してても無意味でしょ。パスワードの中には123456みたいなのが必ずあるんだから、パスワードが漏れた時点で1方向じゃない秘密鍵は漏れたも同然。

      • by Anonymous Coward

        ・パスワード自身で暗号化する(ハッシュの衝突による誤ったログインを生じさせない)
        この場合は特に問題はない。
        ただしレインボーテーブル他の対策のためソルトは必要。

        ・パスワードの入ったデータベースと異なる場所にキーが有る(プログラム側にハードコード等)
        これは平文保存よりはマシ、と言った類の物で、データベースが何らかの方法で盗まれても、
        別途キーを盗まれない限りはパスワードの漏洩が発生しない。ソルトはあったほうが良い。
        オペレーターがパスワードを復元できる必要がある場合の次善の策といった所。
        安全を期すなら、通常のシステム内にはハッシュ化したものを保管して、
        復元用の暗号化済みパスワードはネットワークから完全に一方向に分断されたシステム内に保存するべき。
        フォトカプラとかで物理的に単方向の信号線以外オフラインなサーバ兼端末にデータ突っ込むとか良さげ。

        • by nim (10479) on 2018年04月13日 10時31分 (#3392739)

          > ・パスワード自身で暗号化する(ハッシュの衝突による誤ったログインを生じさせない)

          これはない。
          ハッシュ衝突よりもブルートフォースの1回めが偶然パスワードにドンピシャあたるほうがまだ確率が高い。

          親コメント

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...