パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PlayStation Network の障害、侵入および情報漏洩にまで展開か」記事へのコメント

  • メールアドレス+パスワードの組が流出してるぽいから、同じ組み合わせで他のサービスを利用している人は、速攻でパスを変えておく必要があるね。
    他のサービスでも流用していることを前提にアタックをかけてくる可能性は十分にあるので。

      • by Anonymous Coward

        どうせ総当たり攻撃してくるから不可逆な暗号化とか全く無意味。しかも今時はクラウドの力をもってすれば短時間で解読できてしまうから恐い。

        • by Anonymous Coward

          ピッキングできる鍵だから最初から鍵かけない
          ガラス割れば入れるから最初から鍵かけない
          みたいな思い切りの良さですね

          • by Anonymous Coward

            まあやらないよりはましだけど、せいぜい気休め程度に考えておいた方がいいよ。

            • by Anonymous Coward on 2011年04月27日 21時48分 (#1944041)

              古い UNIX システムの /etc/shadow に john で試してみたことがあるんだが, DES だと 6文字以下のパスワードだと秒殺だった。 8文字以上だと少しは保つが,辞書に載っている単語の組み合わせやユーザ名のアナグラムになっていたりすると数十分でアウト。
              ハッシュ値で保存していても,稼げる時間はそのくらいなんだ…と怖くなった。平文かハッシュ値かに関係なく,洩れたらすぐにパスワードを変更させるなどの対応をとる必要があると思う。

              漏洩したときのリスクがそんなに変わらないのなら,平文の方が却ってセキュアにできるかもしれない。
              平文だと,複数の challenge response 方式にも対応できる。インターネットのような信頼できない経路を使って認証するとき, SSL のようなコネクションごと暗号化する方法がとれない場合には重要だ。

              そんなわけで。敢えて言おう,「パスワードは平文で保存しろよ」と。

              親コメント
              • by Anonymous Coward

                そういう用途ならハッシュじゃなくて戻せる暗号化のほうがマシなんじゃないかなぁ。PCI DSSの規定っぽく扱えば漏れても平文より幾分やりづらいと思います。プログラムとカギをセットで持って行かれない限りはある程度の耐性も確保できるし。

              • by Anonymous Coward
                そんなことしたら、鍵も一緒に盗まれるよ。鍵はサーバに置かざるを得ないからね。
              • by Anonymous Coward

                別サーバー、あるいは別のネットワークのサーバー、別のOSのサーバー、とかいろいろと考えようがありませんか?共通鍵である必要もないわけで。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...