アカウント名:
パスワード:
税務署の過失は免れないだろう
どう確認したとしてもパスワードは教えちゃいかんでしょ
教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・(Salt値付きでハッシュ化して格納、が最低ライン)
セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。
何故「Salt値付きでハッシュ化して格納」する必要があるんですか?パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。Cookieのログイントークンをデータベース
お前は使ってるネットサービスで生パスワードが漏洩して、身内や知り合いにそのパスワードを使われて他人に知られたくないお前のプライバシーを覗きみられてても平気なのか?
パスワードの使いまわしをしていなかったら、生パスワードが漏洩したところで、そのサービスに登録している情報しか覗き見られない。そして、データベース上のパスワードが漏洩する状況というのは、多くの場合そのデータベースに保存されている全てのデータが漏洩する状況なんだけど。
あとね。最近の多層化されたシステムでバックエンドデータベースの情報が直接抜かれるケースって稀だよ。今時はパスワード漏洩もフロントに近い側のアクセス解析・広告・外部APIなどのJavaScriptに悪意のあるコードが仕込まれて漏洩するケースが多く、ハッシュ化では防げない。
> そのサービスに登録している情報しか覗き見られない。
だからそのサービスにある恥ずかしい情報を知り合いに覗き見られる状況を言ってんだろwあるサービスの生パスワードがぶっこぬかれてネットに公開される→それを見つけた知り合いがお前のアカウントにログインして覗き見るっていう至極単純なシナリオも理解できない?
無駄に長文でいろいろ言い訳並べてるけど、単に正常性バイアスに陥って都合の悪い情報を無視したり過小評価してるだけだな。
そのサービスにある恥ずかしい情報はパスワードだけ守れてもぶっこぬかれてるんだよなあ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
せめて基本4情報くらいは確認しないと (スコア:-1)
税務署の過失は免れないだろう
Re: (スコア:0)
どう確認したとしてもパスワードは教えちゃいかんでしょ
Re: (スコア:0)
教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・
(Salt値付きでハッシュ化して格納、が最低ライン)
いい加減時代遅れの知識をまき散らすの止めたら? (スコア:1)
セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。
何故「Salt値付きでハッシュ化して格納」する必要があるんですか?
パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。
高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。
Cookieのログイントークンをデータベース
Re: (スコア:0)
お前は使ってるネットサービスで生パスワードが漏洩して、身内や知り合いにそのパスワードを使われて他人に知られたくないお前のプライバシーを覗きみられてても平気なのか?
Re: (スコア:0)
パスワードの使いまわしをしていなかったら、生パスワードが漏洩したところで、そのサービスに登録している情報しか覗き見られない。
そして、データベース上のパスワードが漏洩する状況というのは、多くの場合そのデータベースに保存されている全てのデータが漏洩する状況なんだけど。
あとね。
最近の多層化されたシステムでバックエンドデータベースの情報が直接抜かれるケースって稀だよ。
今時はパスワード漏洩もフロントに近い側のアクセス解析・広告・外部APIなどのJavaScriptに悪意のあるコードが仕込まれて漏洩するケースが多く、ハッシュ化では防げない。
Re: (スコア:0)
> そのサービスに登録している情報しか覗き見られない。
だからそのサービスにある恥ずかしい情報を知り合いに覗き見られる状況を言ってんだろw
あるサービスの生パスワードがぶっこぬかれてネットに公開される→それを見つけた知り合いがお前のアカウントにログインして覗き見るっていう至極単純なシナリオも理解できない?
無駄に長文でいろいろ言い訳並べてるけど、単に正常性バイアスに陥って都合の悪い情報を無視したり過小評価してるだけだな。
Re:いい加減時代遅れの知識をまき散らすの止めたら? (スコア:0)
そのサービスにある恥ずかしい情報はパスワードだけ守れてもぶっこぬかれてるんだよなあ。