アカウント名:
パスワード:
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?
無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。で
1件のパスワードを現実的な時間で解析できたとしても、480万件のパスワードを現実的な時間で解析できるの?大量のパスワードを得たとして、それを現実的に使えるものにするためには膨大な計算資源が必要となれば、得られた情報の価値が下がる。十分な抑止効果になると思うけど。
ある意味正しいけど、情報の価値はそんなことでは変わらないと思う。屁理屈いうなら1億件のパスワードが漏洩したら、480万件より解析に時間がかかるから抑止効果がより高いということになる。
勿論、ダミーデータを入れる等の対策に意味がないとは言わない。
単なる屁理屈ですね。件数が増えても、解析時間と解析で得られる価値が比例するから抑止効果は変わらない。得られる価値と、そのためにかかるコストの比が重要。生パスワードよりハッシュ化したものの方が、価値を得るためのコストが高いから有効なんです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
いい加減に (スコア:0)
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
GPUクラウドの時代、ハッシュ化しても無駄です (スコア:3, 興味深い)
GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。
ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?
無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。
で
Re: (スコア:0)
1件のパスワードを現実的な時間で解析できたとしても、480万件のパスワードを現実的な時間で解析できるの?
大量のパスワードを得たとして、それを現実的に使えるものにするためには膨大な計算資源が必要となれば、得られた情報の価値が下がる。
十分な抑止効果になると思うけど。
Re:GPUクラウドの時代、ハッシュ化しても無駄です (スコア:0)
ある意味正しいけど、情報の価値はそんなことでは変わらないと思う。
屁理屈いうなら1億件のパスワードが漏洩したら、480万件より解析に時間がかかるから抑止効果がより高いということになる。
勿論、ダミーデータを入れる等の対策に意味がないとは言わない。
Re: (スコア:0)
単なる屁理屈ですね。
件数が増えても、解析時間と解析で得られる価値が比例するから抑止効果は変わらない。
得られる価値と、そのためにかかるコストの比が重要。
生パスワードよりハッシュ化したものの方が、価値を得るためのコストが高いから有効なんです。