アカウント名:
パスワード:
pixivは、saltなしハッシュでパスワード管理してるのかな?saltつきハッシュで管理してほしい
「第三者に推測されやすいもの」が具体的にどういうのかの例示も無さそうだし。なんだかふわっとしててぁゃしぃ。
saltに加えて、ストレッチングも忘れずにやっておきたいですわ
「他社におけるデータ侵害により漏えいしたパスワードのハッシュ値のデータベースを元に判定しているという」というのは、ログイン時には平文のパスワードが手に入るので、それを漏えいしたパスワードのハッシュ値のデータベースと照合しているんだろ。これだけの情報ではsaltを使っていないとは断定できない。
ねとらぼの取材に> pixiv側ではユーザーのパスワードをハッシュ化し、復号不可能な形で保存しているため、入力時以外に保存されているパスワードを判定することはできないそうです。と答えているので、格納されているパスワードのハッシュ化方式がsaltなしSHA-1ハッシュと異なる方法なのは確実
漏洩したパスワードのリスト(平文)を自社のハッシュ関数に入力して比較していると信じたい。
そもそも「Have I Been Pwned」が提供しているのはハッシュ化されたパスワードのリストだからそんなことはやってない例:https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
saltつきハッシュはつかってないの? (スコア:0)
pixivは、saltなしハッシュでパスワード管理してるのかな?
saltつきハッシュで管理してほしい
Re:saltつきハッシュはつかってないの? (スコア:2)
pixivは、saltなしハッシュでパスワード管理してるのかな?
saltつきハッシュで管理してほしい
「第三者に推測されやすいもの」が具体的にどういうのかの例示も無さそうだし。
なんだかふわっとしててぁゃしぃ。
Re:saltつきハッシュはつかってないの? (スコア:1)
saltに加えて、ストレッチングも忘れずにやっておきたいですわ
Re: (スコア:0)
「他社におけるデータ侵害により漏えいしたパスワードのハッシュ値のデータベースを元に判定しているという」というのは、ログイン時には平文のパスワードが手に入るので、それを漏えいしたパスワードのハッシュ値のデータベースと照合しているんだろ。
これだけの情報ではsaltを使っていないとは断定できない。
Re: (スコア:0)
ねとらぼの取材に
> pixiv側ではユーザーのパスワードをハッシュ化し、復号不可能な形で保存しているため、入力時以外に保存されているパスワードを判定することはできないそうです。
と答えているので、格納されているパスワードのハッシュ化方式がsaltなしSHA-1ハッシュと異なる方法なのは確実
Re: (スコア:0)
漏洩したパスワードのリスト(平文)を自社のハッシュ関数に入力して比較していると信じたい。
Re: (スコア:0)
そもそも「Have I Been Pwned」が提供しているのはハッシュ化されたパスワードのリストだからそんなことはやってない
例:
https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]