アカウント名:
パスワード:
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけどHSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
平文パスワードを提示可能(=復号可能)な暗号化ではダメ
なんでだめなの?暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?流出後一定期間生パスワードが保護できればいいんだけど・・・もしかしてハッシュ化していれば生パスワードはばれないって思ってる?別に総当たりでいつかばれることは変わらないよ?
最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど複合化出来るからダメ!って何が問題なのか全くわからん暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス
複合警察と復号化警察が来たぞー
○復号×復号化×複合××複合化
「平文」(名詞)を、「暗号化」(動詞、encryptの訳語)したら「暗号」(名詞)になる。暗号にするから暗号化。「暗号」(名詞)を、「復号」(動詞、decryptの訳語)したら、「平文」(名詞)になる。復号にするわけじゃないから「復号化」じゃない。
複合はcomplex。同音異義語で全然意味が違う。暗号の複合とかプリント基盤とか書かれた文章はその内容の信憑性を一段低くみてしまいます。複合化なら二段低い。
「復号化」ならだましも、復号と複合の誤用をしている人の御託は一切信用できんわな。そういう一見小さいところの見落としや「通じるからいいじゃん」的な思考はそれこそセキュリティの穴の元。
ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる
論旨にはあまり関係ないだろうけど勝手に補足すると、それはソルト付きハッシュの場合だね。
漏れてる時点で大して変わらんが・・・一個でも漏れたら「その一個が複合化されるまでの時間」が強度の評価時間であって一個解けても「次が解けるまで時間かかるから大丈夫」はハッシュ関数の強度の選択事由になりません
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
ぶっちゃけた話 (スコア:0)
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて
本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけど
HSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
Re: (スコア:0)
平文パスワードを提示可能(=復号可能)な暗号化ではダメ
Re:ぶっちゃけた話 (スコア:0)
なんでだめなの?
暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?
流出後一定期間生パスワードが保護できればいいんだけど・・・
もしかしてハッシュ化していれば生パスワードはばれないって思ってる?
別に総当たりでいつかばれることは変わらないよ?
最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど
複合化出来るからダメ!って何が問題なのか全くわからん
暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス
Re:ぶっちゃけた話 (スコア:2, 参考になる)
複合警察と復号化警察が来たぞー
○復号
×復号化
×複合
××複合化
「平文」(名詞)を、「暗号化」(動詞、encryptの訳語)したら「暗号」(名詞)になる。暗号にするから暗号化。
「暗号」(名詞)を、「復号」(動詞、decryptの訳語)したら、「平文」(名詞)になる。復号にするわけじゃないから「復号化」じゃない。
複合はcomplex。同音異義語で全然意味が違う。
暗号の複合とかプリント基盤とか書かれた文章は
その内容の信憑性を一段低くみてしまいます。複合化なら二段低い。
Re: (スコア:0)
「復号化」ならだましも、復号と複合の誤用をしている人の御託は一切信用できんわな。
そういう一見小さいところの見落としや「通じるからいいじゃん」的な思考はそれこそセキュリティの穴の元。
Re: (スコア:0)
ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる
Re: (スコア:0)
論旨にはあまり関係ないだろうけど勝手に補足すると、それはソルト付きハッシュの場合だね。
Re: (スコア:0)
漏れてる時点で大して変わらんが・・・
一個でも漏れたら「その一個が複合化されるまでの時間」が強度の評価時間であって
一個解けても「次が解けるまで時間かかるから大丈夫」はハッシュ関数の強度の選択事由になりません