アカウント名:
パスワード:
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけどHSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
平文パスワードを提示可能(=復号可能)な暗号化ではダメ
なんでだめなの?暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?流出後一定期間生パスワードが保護できればいいんだけど・・・もしかしてハッシュ化していれば生パスワードはばれないって思ってる?別に総当たりでいつかばれることは変わらないよ?
最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど複合化出来るからダメ!って何が問題なのか全くわからん暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス
ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる
論旨にはあまり関係ないだろうけど勝手に補足すると、それはソルト付きハッシュの場合だね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
ぶっちゃけた話 (スコア:0)
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて
本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけど
HSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
Re: (スコア:0)
平文パスワードを提示可能(=復号可能)な暗号化ではダメ
Re: (スコア:0)
なんでだめなの?
暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?
流出後一定期間生パスワードが保護できればいいんだけど・・・
もしかしてハッシュ化していれば生パスワードはばれないって思ってる?
別に総当たりでいつかばれることは変わらないよ?
最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど
複合化出来るからダメ!って何が問題なのか全くわからん
暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス
Re: (スコア:0)
ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる
Re:ぶっちゃけた話 (スコア:0)
論旨にはあまり関係ないだろうけど勝手に補足すると、それはソルト付きハッシュの場合だね。