パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

APOPにパスワード漏洩の脆弱性」記事へのコメント

  • そもそもAPOPって (スコア:3, すばらしい洞察)

    by Anonymous Coward
    今回の件とは関係ないけど

    POP over SSL なら
     平文パスワードを(SSLで暗号化して)送って
     サーバでハッシュ値に変換して
     サーバが持っているハッシュ値と比較
    だから サーバはパスワードのハッシュ値しか持ってないわけだけど

    APOP の場合は
     (サーバから種をもらって)
     平文パスワード+種をクライアントでハッシュ値に変換して送って
     サーバも平文パスワード+同じ種をハッシュ値に変換して比較
    という方法をとるわけだから
    サーバに「復号可能な形式のパスワード」が置いてあるわけで

    本質的に平文パスワード漏洩の可能性は高いよなぁ と思います

    PPP の CHAP とか http の digest 認証とかもそう?
    • by Anonymous Coward on 2007年04月19日 12時28分 (#1144995)
      > サーバに「復号可能な形式のパスワード」が置いてあるわけで

      そうだ、そこをパスワードのハッシュ値(以下、ハッシュドパスワード)にすればいいんだ。

      (サーバから種をもらって)
      ハッシュドパスワード+種をクライアントでさらにハッシュ値に変換して送って
      サーバもハッシュドパスワード+同じ種をさらにハッシュ値に変換して比較

      これでハッシュドパスワード自体漏れても大丈夫…あれえ?
      親コメント
      • by Anonymous Coward

        あれえ?はともかく、案外使いでがあるかも知れません。

        サービス別の「ハッシュドパスワード」を使っておけば、万一それが漏洩しても、同じパスワードで提供される別のサービス(プロバイダであればウェブ、ブログ、最近ではなんたらポイントとかなんたらキャッシュとかもあるでしょうか?)までが一挙に脅威にさらされるということがなくなります。

        通信プロトコルは標準技術であり、また機能的制約(携帯電話からの利用であるとか)や普及度などの問題から必ずしも思い通りのものを採用できるとは限りません。そのため、個別の認証に本物パスワードを使い回すと「プロバイダ

      • by Anonymous Coward
        >> サーバに「復号可能な形式のパスワード」が置いてあるわけで
        >
        >そうだ、そこをパスワードのハッシュ値(以下、ハッシュドパスワード)にすればいいんだ。
        >
        >(サーバから種をもらって)
        >ハッシュドパスワード+種をクライアントでさらにハッシュ値に変換して送って
        >サーバもハッシュドパスワード+同じ種をさらにハッシュ値に変換して比較
        >
        >これでハッシュドパスワード自体漏れても大丈夫…あれえ?

        それがhttpのdigest認証なのでは?

アレゲは一日にしてならず -- アレゲ研究家

処理中...