パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LinkedInから650万件のパスワードが漏洩か」記事へのコメント

  • いくらハッシュ化されてても元の文字列よっては簡単に解読できるんだよねぇ。

    昔、『自分の名前や利用サービス名をハッシュ化して、それをパスワードとして使えば、忘れても簡単に再作成出来るし、文字列としてはランダムでセキュアじゃん!』って思ったけど、案外そうもいかないのよね……

    やっぱり、塩気は大事だよ、うん。

    • ソルトの効用 (スコア:5, 参考になる)

      by JULY (38066) on 2012年06月07日 22時52分 (#2169216)

      やっぱり、塩気は大事だよ、うん。

      手前味噌ですが、塩の効果を書いた事があります。

      塩加減は重要? [hatena.ne.jp]

      「お前じゃ、話にならねぇんだよ」という方には、徳丸さんの記事を。

      ソルトとはなんですか? [atmarkit.co.jp]

      ポイントは、ソルトの効果があるのは、レインボーテーブルによる解析に対してのみ。ブルートフォース攻撃に対する効果はありません。辞書攻撃で解けちゃうようなパスワードは論外。

      もっとも、ブルートフォースなら GPGPU を駆使し一ヶ月かかるものが、レインボーテーブルが使えると、分単位で解ける訳だから、時間かせぎとしては、とっても重要です。

      親コメント
      • ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。

        #ハードコードした似非ソルトを使う誤った用法をよく見かけるので

        親コメント
        • by Anonymous Coward

          > ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。

          そんな必要、ありますか?(理由は?)

          • 個々のアカウント毎にレインボーテーブルを作るコストが発生するからです
            なお、パスデータが漏れる状況ではハードコードした似非ソルトも漏れるものと考えるべきですし、アカウントを自作すればソルトを容易に探索できてしまいます。固定ソルトが分かった時点でレインボーテーブル作成コストは変わらなくなります

            親コメント
          • by nim (10479) on 2012年06月08日 6時48分 (#2169297)

            salt が同一だと、同じパスワードは同じハッシュになってしまいます。
            個別のパスワードの解析に対しては同じですが、パスワードが大量に流出し、
            そこに自分の情報が含まれていたとしたら、同じパスワードを使っている人を特定できますね。

            親コメント
      • by Anonymous Coward on 2012年06月08日 7時09分 (#2169299)

        >手前味噌ですが、塩の効果を書いた事があります。
        「自分で作った味噌でも、塩はとても重要なんだよ」
        と言いたいんですね、分かります。

        親コメント
      • by Anonymous Coward

        素人考えですが、「パスワードのハッシュ値とソルトを保存しておく」って記述を見る度に
        パスワードが漏洩してる状況では、ソルトもセットで漏洩してるから意味無いなと。

        # 実際の実装だと、IDとかメアドとかをこねくり回してソルトを生成してたりするんでしょうか。
        # それでも、プログラムソース流出したら終わるけど

        • by Anonymous Coward on 2012年06月08日 2時59分 (#2169275)

          せっかく2つもリンクつけてくれてるんだから読んでやれよ。
          どんな攻撃にメリットがあってどんな攻撃にまったくメリットが
          ないかわかりやすくかいているんだからさ。

          親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...