アカウント名:
パスワード:
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
復元可能(暗号解除)でなかったら比較できないやん少し考えればわかることだが?
なぜ、生に戻して比較する必要があるの?
好意的に解釈すると本当は生パスワードが漏洩したけど、こっそり認証アルゴリズムを変えたら全パスワードが不一致になる(生パスワードではないことになる)ので取り締まれない、とか?
# passwordとかいう「ハッシュ値」が出てきた時点でバレバレだし# パスワードマネージャ等に残っていた記録を寄せ集めればバレるだろうけど# 状況証拠にしかならない
> 好意的に解釈すると
何を言っているのかわからない。
>>> 復元可能(暗号解除)でなかったら比較できないやん
これ、認証には「パスワードを復元して生パスワード同士の比較が必要」と勘違いしている風に読めるのだが。
あなたの方が何を言っているのかわからない。
> 勘違いしている風に読めるのだが。だから既に#3555454でツッコまれているだろ?
#3555454 は私(=#3555526)が書いたのだが。
それに対して、「好意的に…」と理解不能なコメントを付けられたので、追加したのが #3555526 なのだが。
煽ってるわけではないので、普通に「好意的に…」の意味を解説してくれると助かる。
#3555359がアホなこと言っているのではなく、何か示唆的なことを言っているのだと「好意的に解釈すれば」、漏洩したハッシュ(もどき)が復元可能でなかったら生のパスワードと比較(一致することの確認)ができないのだから「復元可能ではない」ことは証明できないだろう、という指摘かもね、程度の話では?(暗号学的ハッシュ関数の性質を言い換えているだけなのでトートロジーだが)
認証自体は生のパスワードの比較でなくハッシュでの比較で十分だろうが、復元可能か否かについてはハッシュでの比較ではできない。その例が#3555459のように、ハッシュアルゴリズムは公開されていないのだから、後から差し替えることができてしまう、と。
疑わしきは罰せずとか、ソースコード見れば明らかだろとか、無理は承知で書いている。スラドだもの。
結局ただの煽りじゃねーかw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
いい加減に (スコア:0)
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
Re:いい加減に (スコア:0)
復元可能(暗号解除)でなかったら比較できないやん
少し考えればわかることだが?
Re: (スコア:0)
なぜ、生に戻して比較する必要があるの?
Re: (スコア:0)
好意的に解釈すると
本当は生パスワードが漏洩したけど、こっそり認証アルゴリズムを変えたら全パスワードが不一致になる(生パスワードではないことになる)ので取り締まれない、
とか?
# passwordとかいう「ハッシュ値」が出てきた時点でバレバレだし
# パスワードマネージャ等に残っていた記録を寄せ集めればバレるだろうけど
# 状況証拠にしかならない
Re: (スコア:0)
> 好意的に解釈すると
何を言っているのかわからない。
>>> 復元可能(暗号解除)でなかったら比較できないやん
これ、認証には「パスワードを復元して生パスワード同士の比較が必要」と勘違いしている風に読めるのだが。
Re: (スコア:0)
あなたの方が何を言っているのかわからない。
> 勘違いしている風に読めるのだが。
だから既に#3555454でツッコまれているだろ?
Re: (スコア:0)
#3555454 は私(=#3555526)が書いたのだが。
それに対して、「好意的に…」と理解不能なコメントを付けられたので、追加したのが #3555526 なのだが。
煽ってるわけではないので、普通に「好意的に…」の意味を解説してくれると助かる。
Re: (スコア:0)
#3555359がアホなこと言っているのではなく、
何か示唆的なことを言っているのだと「好意的に解釈すれば」、
漏洩したハッシュ(もどき)が復元可能でなかったら
生のパスワードと比較(一致することの確認)ができないのだから「復元可能ではない」ことは証明できないだろう、
という指摘かもね、程度の話では?
(暗号学的ハッシュ関数の性質を言い換えているだけなのでトートロジーだが)
認証自体は生のパスワードの比較でなくハッシュでの比較で十分だろうが、
復元可能か否かについてはハッシュでの比較ではできない。
その例が#3555459のように、ハッシュアルゴリズムは公開されていないのだから、後から差し替えることができてしまう、と。
疑わしきは罰せずとか、ソースコード見れば明らかだろとか、無理は承知で書いている。スラドだもの。
Re: (スコア:0)
結局ただの煽りじゃねーかw