アカウント名:
パスワード:
10桁に満たないパスワードを勝手にスペースで埋めて登録してたんですよね.
あっちが持ってるデータは,10桁に埋められたものから生成されたものですよね.
それを,スペース埋めなくてもいいようにしたってことは,もしかして例の生パスワードを保存してるんですってやつ?
と思ったけど,手動でスペースを入力してたのを,あっちで勝手にスペースを埋めるようにしただけかな.
生パスワードを保存してる
いや、新システムに移行する時の変換プログラムでミスっただけで、パスワード自体は暗号化されてるだろw
ハッシュ化して非可逆で保存されて無いのは、金融系としてはどうよと思わなくもないけど・・・可逆保存するのって未だに一般的だったりするのかな?
認証システムに入れるかは別として、どこかには生パスワード保管してるとは思うけど。
じゃないと例えばハッシュ関数が脆弱化した時とかに全ユーザーのパスワード再発行でしかハッシュ方式を変更する事ができなくなる。
よく分かっていない素人の発想なんですが,そういうときは脆弱化したハッシュ関数によるハッシュ値を,さらに強いハッシュ関数でハッシュ化するみたいなことで解決できないんですか?途中に脆弱性があるとダメですか?
あー、それで良いっちゃ良いのか。
なんか想定外の偏りが起こりそうな気もするんでガチの専門家の意見は聞かないとまずいだろうけど。
だめです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
なぜ解決できた? (スコア:1)
10桁に満たないパスワードを勝手にスペースで埋めて登録してたんですよね.
あっちが持ってるデータは,10桁に埋められたものから生成されたものですよね.
それを,スペース埋めなくてもいいようにしたってことは,もしかして例の生パスワードを保存してるんですってやつ?
と思ったけど,手動でスペースを入力してたのを,あっちで勝手にスペースを埋めるようにしただけかな.
Re: (スコア:0)
いや、新システムに移行する時の変換プログラムでミスっただけで、パスワード自体は暗号化されてるだろw
ハッシュ化して非可逆で保存されて無いのは、金融系としてはどうよと思わなくもないけど・・・
可逆保存するのって未だに一般的だったりするのかな?
Re:なぜ解決できた? (スコア:0)
認証システムに入れるかは別として、どこかには生パスワード保管してるとは思うけど。
じゃないと例えばハッシュ関数が脆弱化した時とかに
全ユーザーのパスワード再発行でしかハッシュ方式を変更する事ができなくなる。
Re:なぜ解決できた? (スコア:1)
よく分かっていない素人の発想なんですが,
そういうときは脆弱化したハッシュ関数によるハッシュ値を,
さらに強いハッシュ関数でハッシュ化するみたいなことで解決できないんですか?
途中に脆弱性があるとダメですか?
Re: (スコア:0)
あー、それで良いっちゃ良いのか。
なんか想定外の偏りが起こりそうな気もするんでガチの専門家の意見は聞かないとまずいだろうけど。
Re: (スコア:0)
だめです。