アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
oracle・・・ (スコア:1, 参考になる)
個人が利用してしまいがちなパスワードとは異なってくるでしょうね。
例えば、qwertyuiとかasdasdasとかzxczxczxとかのように
キーの並びに沿って押したようなパスワード、
testuserとかtestとかguest、そのサービスの会社名というのも比較的ありがちで、
しかもIDも同一だったりして、テストで作ったようなアカウントでログインできてしまう。
#第三者によるものか、自社社員によるものかは様々で、他社の事は詳しく知りませんが、
#自社で提供している会員制サービスのアカウントにはそのようなものが存在していました。
Re:oracle・・・ (スコア:1, すばらしい洞察)
パスワードをハッシュもせずに管理者が見ることのできるサービスだったんですか?
# プライバシーポリシーにはパスワードの管理方法もきちんと書いておいてほしい。
Re:oracle・・・ (スコア:0)
1番目の可能性としてはハッシュに対して辞書攻撃を行った結果そういうパスワードがみつかった
2番目の可能性としてはチャレンジレスポンス認証のために平文あるいは復号可能な形式でパスワードを保存していた
--
ハッシュは手段であって解法ではない
Re:oracle・・・ (スコア:0)
自社サービスと言っても、GMailのような広く公開されたものではなく、
元から限られた経路で限られた相手に提供という担保はあります。
それにしても、様々なパッケージで複数提供しておりますので一概には言えませんが…
そう言った保存がされているものもおそらくあるかと思います。
ただ、前提が「IDが公知な単語」というユーザーにおいて「IDとPWが同一」という状況です。
それは、別に管理者で無くてもスクリプトで確認が出来るレベルの話でしょう。
実際、最初にそのようなアカウントがあると私が気がつ