アカウント名:
パスワード:
実際、パスワードを平文で保存しているおそろしいシステムを見たことがありますが、統計とれるほどに一般的だとはさすがに信じたくないところです。
平文ではありませんが、Windows (Active Directory) であれば「暗号化を元に戻せる状態でパスワードを保存する」 [microsoft.com] というポリシーが設定できますので、これを仕掛ければ良さそうに見えます。
プロトコルの原理上、PPP CHAP [wikipedia.org] をサポートするときにはパスワードが必要です。
リモート アクセスまたはインターネット認証サービス (IAS) を介してチャレンジ ハンドシェイク認証プロトコル (CHAP) を使用する場合は、このポリシー設定を有効にする必要があります。また、Microsoft インターネット インフォメーション サービス (IIS) のダイジェスト認証を使用する場合も、このポリシーが必要です。(Windows XP セキュリティ ガイド) [microsoft.com]
最近では流行らないと思いますが、メール関連でも APOP や CRAM-MD5 をサポートするとなると、必然的にパスワードは平文(または復号可能な暗号)で保存せざるを得ないと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
どうやって知った? (スコア:2, 興味深い)
Source: Perfect Passwords, Mark Burnett 2005
って書いてました。でこの本の著者はどうやって知ったんだろう?
ついでに:約9人に1人がテーブル9.1(Top500のことかな)のパスワードを使ってるらしいです。
AVG anti-virus data base out of date
Re: (スコア:2, 興味深い)
Re: (スコア:0)
Re: (スコア:1)
# 管理がアマいだけならsaltかけましょう♪
で、もう一つの可能性としては、(以下略)
Re:どうやって知った? (スコア:3, 参考になる)
平文ではありませんが、Windows (Active Directory) であれば「暗号化を元に戻せる状態でパスワードを保存する」 [microsoft.com] というポリシーが設定できますので、これを仕掛ければ良さそうに見えます。
プロトコルの原理上、PPP CHAP [wikipedia.org] をサポートするときにはパスワードが必要です。
最近では流行らないと思いますが、メール関連でも APOP や CRAM-MD5 をサポートするとなると、必然的にパスワードは平文(または復号可能な暗号)で保存せざるを得ないと思います。
Re: (スコア:0)
> 必然的にパスワードは平文(または復号可能な暗号)で保存せざるを得ないと思います。
CRAM-MD5 については、ハッシュで保存できます。
MD5 以外でも逐次的なハッシュ関数なら、「途中まで計算したハッシュ値」を保存しておいて、
認証の際に続きを計算するという方式が採用できます。実装されているサーバは多くないかも
しれませんが。
# SSL も秘密鍵を復号可能な形で保存するなんて、恐ろしい子!ですかね。
Re: (スコア:0)
この場合も、サーバで保持しているハッシュ値が漏れるとアウトですよね?
違いは、生パスワードと違い、もし同じパスワードを設定している別のサーバがあった場合に、
芋づる式に入れなくなるということですかね?