パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

もっとも多く使われているiPhoneのロック番号」は「1234」」記事へのコメント

  • by Anonymous Coward on 2011年06月15日 16時23分 (#1970814)

    自分が開発するときはDBにパスワードを平文で置いたりしません。

    「データベースにはパスワードのハッシュ値しか保存しない」
    「ログインは入力内容のハッシュ値がDBと一致するかで判定」
    「もしパスワードを忘れたら、仮パスワードを発行」

    としていて、運営者側が利用者のパスワードを知れるようにはしないです。

    でも外部の業者が作ると、平気で(?)パスワードを DBに平文で記録するので、
    こんな風に「利用者のパスワードを眺めてウフフ」している運営者は多いんでしょうかね。

    • by s02222 (20350) on 2011年06月15日 16時44分 (#1970830)
      そんな怪しいソフトを平気で使う層の統計だから、母集団がそもそも残念な方に偏ってるって事はないのかな。
      親コメント
      • Re: (スコア:0, 荒らし)

        >母集団がそもそも残念な方に偏ってるって事はないのかな。

        マカーは人間ではない説のお方に言わせたら(あれ?でてこないね)、母集団を含む集団は、人間ではないということになりそうです。なので、残念よりも先ということになりますね。
        つまり、人間ではない残念な方向に大きく偏っているので、人間という立地からは統計ですらなくなってしまいそうです。
        つまり、神の領域ということではないでしょうか?

        • by Anonymous Coward

          誰と戦ってるんだ

          • Re: (スコア:0, 荒らし)

            >誰と戦ってるんだ

            たぶん、マカーは人間ではない説のお方は、神と戦っておらっしゃるのではないかと思います。

    • FreeRADIUSの自己開発認証モジュールで、最初そうしてたんですよ。
      ところがさすがにPAPだけじゃ対応できなくなってCHAPに拡張(802.1x絡み)するときに
      どうしても平文パスワードが必要になって、可逆暗号に変更しました。
      システム的に可逆なのが必要なこともあるっちゃあるんですよ。
      # ちなみに定期変更が強制される仕組にしてあったので、更新時にDBの中身を置き換える
      # ようにしました。変更が一巡したらみんな可逆化。:-)
      親コメント
      • by Anonymous Coward

        というかPAPって平文でパスワードがネットワークを流れるわけですよね。
        「えーマジ可逆? DBに可逆保存が許されるのはソニーまでだよねー(ドヤァ」とか言ってる人はそっちのほうは気にならないんですかね。

        • by Anonymous Coward

          さすがにいまどきPAPなんてないと信じたいです><

    • by Anonymous Coward

      1. そもそもこのアプリがパスワードを管理してるわけじゃない。
      2. クラサバでDBに保存するパスワードじゃなくて、iPhoneのローカルに保存するロック番号の話。ハッシュかける意味は?
      3. ハッシュだけ? ソルトやストレッチングは?
      4. iPhoneは通常 運営者=利用者ですよね? 仮パスワードはやっぱり自画面に発行するの?

      まぁ、だからといってアプリ側がパスワード収集していいかって話はまた別ですが。

      • by Anonymous Coward

        すみません。ハッシュかける意味はありましたね。書いてから気づくアホ。

        けど、やっぱりiPhoneがパスワードをどうやって管理してるのかとは別問題。
        このソフトは、APIかなんかで打ち込んだロックコードに対する結果のみを受け取ってるんでしょ。
        で、OKのでたコードの収集を行ったと。この場合は平文だろが的確にハッシュ化されてようが同じですよね。

    • by Anonymous Coward

      そのサブジェクトやめい
      やっと忘れたのに思い出してしまうじゃないか

    • by Anonymous Coward
      パスワードをクライアントに平文で保存している、うちに導入されてるお馬鹿なシステムよりはマシですね
      iniファイルに"Password=123456"と記入されてるびっくりシステムです
      尤もサーバ側のパスワードがユーザー名と同じで2桁!というビックリ仕様な上、サーバ上のデータ、
      クライアントにキャッシュされるデータもプレーンテキストなので
      メモ帳が有れば開けるという素敵仕様ですが・・・
      大手が導入して漏れるとまずい顧客関連のデータが入ってるんですけど
      直接権限が及ばないところなのでスルーしてますが

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...