パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩」記事へのコメント

  • by Anonymous Coward

    パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。

    • GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。
      ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?

      無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。

      • 高木浩光大先生も、パスワードを使いまわししないのが常識になったのだから、パスワード表示機能はあっても良いと言い出してるね。

        高木浩光先生はパスワードの定期的変更不要派で、パスワードのハッシュが漏洩する可能性を考慮してしまうとパスワードの定期的変更が必要派に餌を与えてしまうってことも影響しているだろうけどね(生パスワードの場合漏洩したら解析時間必要なく即悪用される可能性があるので定期的変更しても無駄だが、パスワードハッシュは解析に時間がかかるので定期的変更で攻撃を防げる場合がある)。

        2012年
        https://twitter.com/HiromitsuTakagi/status/198005727317598208 [twitter.com]
        > しかし、業界の中にはそういう常識を共有していない愚事業

        • by Anonymous Coward

          パスワードをサイト毎に変えるのが常識と言ってもそれはマニアの間だけで全然末端に浸透してないし、
          そもそも50個も80個もサイトにアカウントを持ってて全部違うパスワードを付けて覚えるのは不可能。

          • by Anonymous Coward

            > そもそも50個も80個もサイトにアカウントを持ってて全部違うパスワードを付けて覚えるのは不可能。

            パスワードマネージャを使うとか、手帳にメモっておくとかいくらでも方法あるでしょ

            そもそも、サイトによってパスワードのルールが違う(記号使えというとこがあれば記号禁止のとこもあるし文字数制限もサイトによって違う)ので必ずいくつかのパスワードを使うことになるし、どのサイトにどれだか忘れちゃうからどっちにしろ書き留める必要が出てくるよね

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...