アカウント名:
パスワード:
税務署の過失は免れないだろう
どう確認したとしてもパスワードは教えちゃいかんでしょ
教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・(Salt値付きでハッシュ化して格納、が最低ライン)
セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。
何故「Salt値付きでハッシュ化して格納」する必要があるんですか?パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。Cookieのログイントークンをデータベース
ストレッチはやめたほうがええというのはわかるが、これ聞いてもハッシュしない方がいいとまでは思えんなハッシュ化するコストは知れてるからハッシュ化はしたほうがええと思うね
普通はハッシュ化はするんだよ。「ハッシュ化するコストは知れてるからハッシュ化はしたほうがええと思うね」は正しい。でも理論的に必須では無くて、目的によりハッシュ化をしないオプションも十分あり得る。ハッシュ化は情報保護の戦略のひとつに過ぎないにもかかわらず、それをやっていれば善、そうでなければ悪みたいな単純な考え方をしている人がダメなのよ。
申し訳ないが十分あり得るとまでは思えないなぁ…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
せめて基本4情報くらいは確認しないと (スコア:-1)
税務署の過失は免れないだろう
Re: (スコア:0)
どう確認したとしてもパスワードは教えちゃいかんでしょ
Re: (スコア:0)
教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・
(Salt値付きでハッシュ化して格納、が最低ライン)
いい加減時代遅れの知識をまき散らすの止めたら? (スコア:1)
セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。
何故「Salt値付きでハッシュ化して格納」する必要があるんですか?
パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。
高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。
Cookieのログイントークンをデータベース
Re:いい加減時代遅れの知識をまき散らすの止めたら? (スコア:0)
ストレッチはやめたほうがええというのはわかるが、
これ聞いてもハッシュしない方がいいとまでは思えんな
ハッシュ化するコストは知れてるからハッシュ化はしたほうがええと思うね
Re: (スコア:0)
普通はハッシュ化はするんだよ。「ハッシュ化するコストは知れてるからハッシュ化はしたほうがええと思うね」は正しい。
でも理論的に必須では無くて、目的によりハッシュ化をしないオプションも十分あり得る。
ハッシュ化は情報保護の戦略のひとつに過ぎないにもかかわらず、
それをやっていれば善、そうでなければ悪みたいな単純な考え方をしている人がダメなのよ。
Re: (スコア:0)
申し訳ないが十分あり得るとまでは思えないなぁ…