アカウント名:
パスワード:
税務署の過失は免れないだろう
どう確認したとしてもパスワードは教えちゃいかんでしょ
教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・(Salt値付きでハッシュ化して格納、が最低ライン)
セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。
何故「Salt値付きでハッシュ化して格納」する必要があるんですか?パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。Cookieのログイントークンをデータベース
いまどき、ログイン処理やパスワード等の記録はフレームワークが提供する機能で実現し、その機能を使えば、ハッシュ化やsaltは自動的に行われます。にもかかわらず、復元可能であるという情報が得られたという事は
という疑念を生み、セキュリティ的に安全ではないサービスを提供していると思われるリスクがあります。
システムが古く、平文で保存するのが当たり前だったころに作られたものかもしれません。しかし、その場合はハッシュ化が当然という時代にも平文保存を続けていたということになり「セキュリティ関係の情報アップデートができていない」という疑念を生みます。そしてパスワードを漏洩したという事実はその疑念が確信に変わる理由としてもっともらしいでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
せめて基本4情報くらいは確認しないと (スコア:-1)
税務署の過失は免れないだろう
Re: (スコア:0)
どう確認したとしてもパスワードは教えちゃいかんでしょ
Re: (スコア:0)
教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・
(Salt値付きでハッシュ化して格納、が最低ライン)
いい加減時代遅れの知識をまき散らすの止めたら? (スコア:1)
セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。
何故「Salt値付きでハッシュ化して格納」する必要があるんですか?
パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。
高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。
Cookieのログイントークンをデータベース
Re:いい加減時代遅れの知識をまき散らすの止めたら? (スコア:0)
いまどき、ログイン処理やパスワード等の記録はフレームワークが提供する機能で実現し、その機能を使えば、ハッシュ化やsaltは自動的に行われます。
にもかかわらず、復元可能であるという情報が得られたという事は
という疑念を生み、セキュリティ的に安全ではないサービスを提供していると思われるリスクがあります。
システムが古く、平文で保存するのが当たり前だったころに作られたものかもしれません。
しかし、その場合はハッシュ化が当然という時代にも平文保存を続けていたということになり
「セキュリティ関係の情報アップデートができていない」という疑念を生みます。
そしてパスワードを漏洩したという事実はその疑念が確信に変わる理由としてもっともらしいでしょう。