アカウント名:
パスワード:
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけどHSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
ドコモ側で復号できるってことは、その復号鍵をどこかに持っているわけで。暗号化パスワードが復号鍵とセットで流出したら平文と同じですよ。
対ダンパ性とか知らないのであればあの語らないでくださいHSMがなんなのかも分かってなさそうなので・・・
対ダンパ性www タンパだよ、Tamper技術者気取りの素人が自分の思い込みを上から目線で叩きつけ合うひどいサイトですねここはそもそもドコモはHSM使ってるなんて言ってないし仮に使っててもHSMごと盗まれるリスクがあるんですがそれは
耐はめんどくさけどダンパだっけタンパだっけってなって適当に書いたわすまんな後俺は元ACとは別だよ
HSM毎盗まれるってそこまでいって盗まれるならハッシュ化されてようと実装から全部ぶっこ抜かれるんだからバックドアしかけてロギングして抜けば良いんだから何の意味があるの?その想定においてはハッシュ化も意味がないんだけどどうして意味がないのをもってくるの?
筐体への物理アクセスを許すセキュリティと流出時に生パスワードがばれるまでの時間のためにハッシュ化は別な次元でしょ?
要は「物理的にアクセスできるなら何でもやり放題だろ」って言いたいんだと思うけど、現実はそうじゃないバックドア仕掛けるにはそれはそれで別方向のセキュリティの穴が必要暗号化パスワードってよく廃棄サーバから流出したりする(Adobeの件がそうだった)んで、そうなると「暗号化パスワードとHSMは手に入ったけど、バックドアまでは仕掛けられない」という状況が生まれるハッシュ化の方が暗号化より安全であることは様々な専門家の支持を得ている標準的な考え方なので、ハッシュ化に意味がない論はかなり苦しい100歩譲っても安全性が「ハッシュ化≧暗号化」であることには変わりない
侵入可能回数が1の場合は層だけど1+nなのであれば別にそこにロギングいくらでも仕込んで回収すりゃ良いだけなので・・・物理アクセス可能なら何でも出来るんだからそれを防ぐのは「別なレイヤのセキュリティ」だっていってんだろ
HSMが手に入った所で再始動には複数人なりのパスワードが必要とか二要素認証がないと盗まれたと判断して持って居る鍵情報は抹消されるんだけどHSMそのまま盗めば使えると思ってるの?
ついでにいうとHSM何かの暗号化ソリューションはソルト化でランダム文字列を付加する仕様にも出来るよ?
っていうか貴方は1passwordとか使わないの?そこにパスワード保存されていて暗号化されてるよね?なんでそれはいいと思うの?それとも使わないで覚えてるの?
暗号化でもハッシュ化でも別に条件次第ではどちらでもよろしい
ローカルで管理する限りにおいて、漏洩の責任は自分にあるからだね。漏洩したくなければ自分が頑張ればいい。どこまで頑張るかも自分で決められる。ついでに、パスワード管理ツールに記録するのはヒントレベルでもかまわないがサービス側は認証に使用できる完全なデータを保存することが望まれる。当たり前だけどね。
1passwordってクラウド側に暗号化データで保存してるから端末間で同期できるんだけど一体何をいってるんです?買切り版はないけどサブスク版は同期できるよね?なんでそれはいいの?
仮定に仮定を重ねすぎ。無理擁護が過ぎる。ドコモがHSMモジュール使って複数人なりのパスワードが必要で鍵情報の抹消が徹底されていてソルト化でランダム文字列を付加する仕様だという証拠を持ってきてから言ってくれ。
1passwordとか
ローカルで管理する限りにおいて
どこまで頑張るかも自分で決められる。
パスワード管理ツールに記録するのはヒントレベルでもかまわない
文章をきちんと読んでから反論しようね。
ダンパー【damper】
1 振動エネルギーを消散させて衝撃または振動の振幅を軽減する装置。自動車・鉄道車両などに使用。制振器。吸振器。
2 ピアノ・チェンバロなどで、弦の振動を止める装置。
ダンパーの意味や定義 Weblio辞書 [weblio.jp]
これは恥ずかしいコメントを額縁に入れて飾ってあげたいレベル濁点を付ける方向でのtypoはあり得ないから間違って覚えてたんやろなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
ぶっちゃけた話 (スコア:0)
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて
本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけど
HSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
Re: (スコア:0)
ドコモ側で復号できるってことは、その復号鍵をどこかに持っているわけで。暗号化パスワードが復号鍵とセットで流出したら平文と同じですよ。
Re:ぶっちゃけた話 (スコア:0)
対ダンパ性とか知らないのであればあの語らないでください
HSMがなんなのかも分かってなさそうなので・・・
Re: (スコア:0)
対ダンパ性www タンパだよ、Tamper
技術者気取りの素人が自分の思い込みを上から目線で叩きつけ合うひどいサイトですねここは
そもそもドコモはHSM使ってるなんて言ってないし仮に使っててもHSMごと盗まれるリスクがあるんですがそれは
Re: (スコア:0)
耐はめんどくさけどダンパだっけタンパだっけってなって適当に書いたわすまんな
後俺は元ACとは別だよ
HSM毎盗まれるってそこまでいって盗まれるならハッシュ化されてようと実装から全部ぶっこ抜かれるんだから
バックドアしかけてロギングして抜けば良いんだから何の意味があるの?
その想定においてはハッシュ化も意味がないんだけどどうして意味がないのをもってくるの?
筐体への物理アクセスを許すセキュリティと流出時に生パスワードがばれるまでの時間のためにハッシュ化は別な次元でしょ?
Re: (スコア:0)
要は「物理的にアクセスできるなら何でもやり放題だろ」って言いたいんだと思うけど、現実はそうじゃない
バックドア仕掛けるにはそれはそれで別方向のセキュリティの穴が必要
暗号化パスワードってよく廃棄サーバから流出したりする(Adobeの件がそうだった)んで、そうなると「暗号化パスワードとHSMは手に入ったけど、バックドアまでは仕掛けられない」という状況が生まれる
ハッシュ化の方が暗号化より安全であることは様々な専門家の支持を得ている標準的な考え方なので、ハッシュ化に意味がない論はかなり苦しい
100歩譲っても安全性が「ハッシュ化≧暗号化」であることには変わりない
Re: (スコア:0)
侵入可能回数が1の場合は層だけど
1+nなのであれば別にそこにロギングいくらでも仕込んで回収すりゃ良いだけなので・・・
物理アクセス可能なら何でも出来るんだからそれを防ぐのは「別なレイヤのセキュリティ」だっていってんだろ
HSMが手に入った所で再始動には複数人なりのパスワードが必要とか二要素認証がないと
盗まれたと判断して持って居る鍵情報は抹消されるんだけどHSMそのまま盗めば使えると思ってるの?
ついでにいうとHSM何かの暗号化ソリューションはソルト化でランダム文字列を付加する仕様にも出来るよ?
っていうか貴方は1passwordとか使わないの?
そこにパスワード保存されていて暗号化されてるよね?なんでそれはいいと思うの?
それとも使わないで覚えてるの?
暗号化でもハッシュ化でも別に条件次第ではどちらでもよろしい
Re: (スコア:0)
ローカルで管理する限りにおいて、漏洩の責任は自分にあるからだね。
漏洩したくなければ自分が頑張ればいい。どこまで頑張るかも自分で決められる。
ついでに、パスワード管理ツールに記録するのはヒントレベルでもかまわないが
サービス側は認証に使用できる完全なデータを保存することが望まれる。当たり前だけどね。
Re: (スコア:0)
1passwordってクラウド側に暗号化データで保存してるから
端末間で同期できるんだけど一体何をいってるんです?
買切り版はないけどサブスク版は同期できるよね?なんでそれはいいの?
Re: (スコア:0)
仮定に仮定を重ねすぎ。無理擁護が過ぎる。
ドコモがHSMモジュール使って複数人なりのパスワードが必要で鍵情報の抹消が徹底されていてソルト化でランダム文字列を付加する仕様だという証拠を持ってきてから言ってくれ。
Re: (スコア:0)
1passwordとか
ローカルで管理する限りにおいて
どこまで頑張るかも自分で決められる。
パスワード管理ツールに記録するのはヒントレベルでもかまわない
文章をきちんと読んでから反論しようね。
Re: (スコア:0)
ダンパー【damper】
1 振動エネルギーを消散させて衝撃または振動の振幅を軽減する装置。自動車・鉄道車両などに使用。制振器。吸振器。
2 ピアノ・チェンバロなどで、弦の振動を止める装置。
ダンパーの意味や定義 Weblio辞書 [weblio.jp]
Re: (スコア:0)
これは恥ずかしい
コメントを額縁に入れて飾ってあげたいレベル
濁点を付ける方向でのtypoはあり得ないから間違って覚えてたんやろなぁ