アカウント名:
パスワード:
むかしよくつかわれてたCHAP認証って、プロバイダ側に平文パスワードを保存しておく必要があるんじゃなかった?すくなくとも、CHAP認証が使われてる間は、平文パスワードを保存しておく必要がある
日本でも、フレッツ等のPPPoEではいまでもCHAP認証が使われてるのでは?だからプロバイダは平文パスワードを保存してるはず
チャレンジレスポンス系の場合、サーバ側から送ったチャレンジをクライアントとサーバが保持している同じキーで変換してレスポンスにして、サーバは送り返されてきたレスポンスと自分で変換したレスポンスを比べるという形をとるから、どうしても同じキーを両者が持っていなくてはいけなくなってしまう。
無線認証のデファクトスタンダードのMSCHAPv2だって、キーが平のパスワードではなくそのNTLMハッシュになってるだけで、ハッシュ自体はサーバ側に残ってる。NTLMハッシュなんてソルトはないわアルゴリズムがRC4だわ、かなりのよっわよわなのに、平ではないというだけで、不問になっている。「平」というだけでこれだけ笑いものにされるのに。
「平」というだけでこれだけ笑いものにされるのに。
驕れるものは久しからず、と
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
PPP CHAP認証 (スコア:1)
むかしよくつかわれてたCHAP認証って、プロバイダ側に平文パスワードを保存しておく必要があるんじゃなかった?
すくなくとも、CHAP認証が使われてる間は、平文パスワードを保存しておく必要がある
日本でも、フレッツ等のPPPoEではいまでもCHAP認証が使われてるのでは?
だからプロバイダは平文パスワードを保存してるはず
Re: (スコア:0)
チャレンジレスポンス系の場合、サーバ側から送ったチャレンジをクライアントとサーバが保持している同じキーで変換してレスポンスにして、サーバは送り返されてきたレスポンスと自分で変換したレスポンスを比べるという形をとるから、どうしても同じキーを両者が持っていなくてはいけなくなってしまう。
無線認証のデファクトスタンダードのMSCHAPv2だって、キーが平のパスワードではなくそのNTLMハッシュになってるだけで、ハッシュ自体はサーバ側に残ってる。NTLMハッシュなんてソルトはないわアルゴリズムがRC4だわ、かなりのよっわよわなのに、平ではないというだけで、不問になっている。「平」というだけでこれだけ笑いものにされるのに。
Re:PPP CHAP認証 (スコア:1)
「平」というだけでこれだけ笑いものにされるのに。
驕れるものは久しからず、と