パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表」記事へのコメント

  • 同じくITmediaだけどこちら [itmedia.co.jp]の方が詳しそう?
    データの構造化はしていただろうから、「パスワードも含まれる」じゃなくて
    「パスワードも含めてた」だと思われる。
    もはやパスワードを平文で送信することが脆弱性になりそう。
    ブラウザの段階で適当にハッシュ化されるようになったりして。

    • by Anonymous Coward

      なんでhtmlのformにpasswordのinputを作った時点で何かしらハッシュを送信するようにしなかったのか不思議でならない。
      まぁ当時ならsaltなしで弱いハッシュ関数を一回分とかになっていただろうけどそうだとしてもhtml5ができた頃には、そこそこまともなハッシュ関数とストレッチングのサポート・セキュリティ警告・多重ハッシュ(サーバー側にはハッシュ化済みのパスワードしかないはずなので)、程度には改良されていたはず。
      少なくとも平文が漏れ出すとか使いまわしが問題になるとかはかなり少なかったでしょ。

      別に今ならJavaScriptでハッシュ関数にかけるくらいできるけどね。

      • by Anonymous Coward on 2019年03月25日 23時34分 (#3587259)

        なんとかの後知恵。2012年頃にパスワードリスト攻撃が認知されるまでは、平文パスワード=問答無用で危険という風潮ではなかった。

        親コメント
        • by Anonymous Coward

          POP -> APOPとか HTTPのDigest認証とか telnet->sshとか ネットに平文pass流すなとは昔から言われてましたが

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...