アカウント名:
パスワード:
メールアドレス+パスワードの組が流出してるぽいから、同じ組み合わせで他のサービスを利用している人は、速攻でパスを変えておく必要があるね。他のサービスでも流用していることを前提にアタックをかけてくる可能性は十分にあるので。
馬鹿なの?>SONY
どうせ総当たり攻撃してくるから不可逆な暗号化とか全く無意味。しかも今時はクラウドの力をもってすれば短時間で解読できてしまうから恐い。
ピッキングできる鍵だから最初から鍵かけないガラス割れば入れるから最初から鍵かけないみたいな思い切りの良さですね
まあやらないよりはましだけど、せいぜい気休め程度に考えておいた方がいいよ。
古い UNIX システムの /etc/shadow に john で試してみたことがあるんだが, DES だと 6文字以下のパスワードだと秒殺だった。 8文字以上だと少しは保つが,辞書に載っている単語の組み合わせやユーザ名のアナグラムになっていたりすると数十分でアウト。ハッシュ値で保存していても,稼げる時間はそのくらいなんだ…と怖くなった。平文かハッシュ値かに関係なく,洩れたらすぐにパスワードを変更させるなどの対応をとる必要があると思う。
漏洩したときのリスクがそんなに変わらないのなら,平文の方が却ってセキュアにできるかもしれない。平文だと,複数の challenge response 方式にも対応できる。インターネットのような信頼できない経路を使って認証するとき, SSL のようなコネクションごと暗号化する方法がとれない場合には重要だ。
そんなわけで。敢えて言おう,「パスワードは平文で保存しろよ」と。
そういう用途ならハッシュじゃなくて戻せる暗号化のほうがマシなんじゃないかなぁ。PCI DSSの規定っぽく扱えば漏れても平文より幾分やりづらいと思います。プログラムとカギをセットで持って行かれない限りはある程度の耐性も確保できるし。
別サーバー、あるいは別のネットワークのサーバー、別のOSのサーバー、とかいろいろと考えようがありませんか?共通鍵である必要もないわけで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
パスワードを使いまわしている人は注意 (スコア:2, 参考になる)
メールアドレス+パスワードの組が流出してるぽいから、同じ組み合わせで他のサービスを利用している人は、速攻でパスを変えておく必要があるね。
他のサービスでも流用していることを前提にアタックをかけてくる可能性は十分にあるので。
パスワードは不可逆な暗号化して保存しろよ… (スコア:0)
馬鹿なの?>SONY
Re: (スコア:0)
どうせ総当たり攻撃してくるから不可逆な暗号化とか全く無意味。しかも今時はクラウドの力をもってすれば短時間で解読できてしまうから恐い。
Re:パスワードは不可逆な暗号化して保存しろよ… (スコア:0)
ピッキングできる鍵だから最初から鍵かけない
ガラス割れば入れるから最初から鍵かけない
みたいな思い切りの良さですね
Re: (スコア:0)
Re: (スコア:0)
まあやらないよりはましだけど、せいぜい気休め程度に考えておいた方がいいよ。
パスワードは平文でしろよ (スコア:1, 興味深い)
古い UNIX システムの /etc/shadow に john で試してみたことがあるんだが, DES だと 6文字以下のパスワードだと秒殺だった。 8文字以上だと少しは保つが,辞書に載っている単語の組み合わせやユーザ名のアナグラムになっていたりすると数十分でアウト。
ハッシュ値で保存していても,稼げる時間はそのくらいなんだ…と怖くなった。平文かハッシュ値かに関係なく,洩れたらすぐにパスワードを変更させるなどの対応をとる必要があると思う。
漏洩したときのリスクがそんなに変わらないのなら,平文の方が却ってセキュアにできるかもしれない。
平文だと,複数の challenge response 方式にも対応できる。インターネットのような信頼できない経路を使って認証するとき, SSL のようなコネクションごと暗号化する方法がとれない場合には重要だ。
そんなわけで。敢えて言おう,「パスワードは平文で保存しろよ」と。
Re: (スコア:0)
そういう用途ならハッシュじゃなくて戻せる暗号化のほうがマシなんじゃないかなぁ。PCI DSSの規定っぽく扱えば漏れても平文より幾分やりづらいと思います。プログラムとカギをセットで持って行かれない限りはある程度の耐性も確保できるし。
Re: (スコア:0)
Re: (スコア:0)
別サーバー、あるいは別のネットワークのサーバー、別のOSのサーバー、とかいろいろと考えようがありませんか?共通鍵である必要もないわけで。