アカウント名:
パスワード:
パスコードが埋め込んであるということは、磁気ストライプに暗証番号記録したカードと同じ
さすがにhashになってるだろうし同じじゃないでしょう磁気ストライプはアクセスしやすいですし
桁数はそんなに多くなさそうですし、カードごとにハッシュの計算方法が同じなら、割り出すのは難しくなさそう
ソルトといっしょにハッシュ取るでしょうよもちろんそれでも難しくは無いでしょうが、ストレッチとかすればそこそこ行けるんじゃないですかね丸見えの磁気コードに暗号化もしないで入れてるのと比べるのは流石にどうかな、と生パスワードが漏れて別件に使用されるのも回避できますし
イヤ知らんですけどね酷いもんかも知れませんが…
リンク先を見ると、パスコードは数字(1-5?、0-9?)8桁と使用できる文字は少なく、カードに詰めるバッテリー、プロセッサーによってはストレッチングの回数はそこまで増やせなさそう(パスコード入力から有効化までに時間がかかる+バッテリーがすぐ切れる)なので、盗んでからパスワードを割り出すのにそんなに時間はかからないのではないかと思ってました。
# 暗号化されていない丸見えの磁気コードよりは安全でも、# 盗まれたのに気づいてカード会社に無効化してもらうまでの時間が稼げるのかが不安
そうですね、ストレッチングと言ってもCPUパワーが潤沢とは思えませんしねクラック用マシンの方が圧倒的に演算能力が高くて…とかありそうです。本気の犯罪者集団に耐えられるかっていうと難しいでしょうな
専用チップで普通のPCだったらやたら時間のかかるハッシュアリゴリズムを実装するとかができればやってみる価値あるのかも# そんなのがあるかどうかは考えてない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
磁気ストライプに暗証番号記録したカードと同じ (スコア:0)
パスコードが埋め込んであるということは、磁気ストライプに暗証番号記録したカードと同じ
Re: (スコア:2)
さすがにhashになってるだろうし同じじゃないでしょう
磁気ストライプはアクセスしやすいですし
Re: (スコア:0)
桁数はそんなに多くなさそうですし、カードごとに
ハッシュの計算方法が同じなら、割り出すのは難しくなさそう
Re:磁気ストライプに暗証番号記録したカードと同じ (スコア:2)
ソルトといっしょにハッシュ取るでしょうよ
もちろんそれでも難しくは無いでしょうが、ストレッチとかすればそこそこ行けるんじゃないですかね
丸見えの磁気コードに暗号化もしないで入れてるのと比べるのは流石にどうかな、と
生パスワードが漏れて別件に使用されるのも回避できますし
イヤ知らんですけどね
酷いもんかも知れませんが…
Re: (スコア:0)
リンク先を見ると、パスコードは数字(1-5?、0-9?)8桁と使用できる文字は少なく、カードに詰めるバッテリー、プロセッサーによっては
ストレッチングの回数はそこまで増やせなさそう(パスコード入力から有効化までに時間がかかる+バッテリーがすぐ切れる)なので、
盗んでからパスワードを割り出すのにそんなに時間はかからないのではないかと思ってました。
# 暗号化されていない丸見えの磁気コードよりは安全でも、
# 盗まれたのに気づいてカード会社に無効化してもらうまでの時間が稼げるのかが不安
Re:磁気ストライプに暗証番号記録したカードと同じ (スコア:2)
そうですね、ストレッチングと言ってもCPUパワーが潤沢とは思えませんしね
クラック用マシンの方が圧倒的に演算能力が高くて…とかありそうです。
本気の犯罪者集団に耐えられるかっていうと難しいでしょうな
専用チップで普通のPCだったらやたら時間のかかるハッシュアリゴリズムを実装するとかができればやってみる価値あるのかも
# そんなのがあるかどうかは考えてない