アカウント名:
パスワード:
暗号化とハッシュ化で混乱が起こっている。それに伴い「平文で保存」「復元可能な(暗号化した)保存」「復元不可能な(ハッシュ化した)保存」で混乱が起こっているように見える。いくらなんでも平文保存はない。パスワードはハッシュ化が基本だが、暗号化しているシステムも設計次第でなくはないだろう。
復号可能だったらいくら暗号化してても無意味でしょ。パスワードの中には123456みたいなのが必ずあるんだから、パスワードが漏れた時点で1方向じゃない秘密鍵は漏れたも同然。
・パスワード自身で暗号化する(ハッシュの衝突による誤ったログインを生じさせない)この場合は特に問題はない。ただしレインボーテーブル他の対策のためソルトは必要。
・パスワードの入ったデータベースと異なる場所にキーが有る(プログラム側にハードコード等)これは平文保存よりはマシ、と言った類の物で、データベースが何らかの方法で盗まれても、別途キーを盗まれない限りはパスワードの漏洩が発生しない。ソルトはあったほうが良い。オペレーターがパスワードを復元できる必要がある場合の次善の策といった所。安全を期すなら、通常のシステム内にはハッシュ化したものを保管して、復元用の暗号化済みパスワードはネットワークから完全に一方向に分断されたシステム内に保存するべき。フォトカプラとかで物理的に単方向の信号線以外オフラインなサーバ兼端末にデータ突っ込むとか良さげ。
> ・パスワード自身で暗号化する(ハッシュの衝突による誤ったログインを生じさせない)
これはない。ハッシュ衝突よりもブルートフォースの1回めが偶然パスワードにドンピシャあたるほうがまだ確率が高い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
暗号化とハッシュ化 (スコア:0)
暗号化とハッシュ化で混乱が起こっている。
それに伴い「平文で保存」「復元可能な(暗号化した)保存」「復元不可能な(ハッシュ化した)保存」で混乱が起こっているように見える。
いくらなんでも平文保存はない。
パスワードはハッシュ化が基本だが、暗号化しているシステムも設計次第でなくはないだろう。
Re: (スコア:0)
復号可能だったらいくら暗号化してても無意味でしょ。パスワードの中には123456みたいなのが必ずあるんだから、パスワードが漏れた時点で1方向じゃない秘密鍵は漏れたも同然。
Re: (スコア:0)
・パスワード自身で暗号化する(ハッシュの衝突による誤ったログインを生じさせない)
この場合は特に問題はない。
ただしレインボーテーブル他の対策のためソルトは必要。
・パスワードの入ったデータベースと異なる場所にキーが有る(プログラム側にハードコード等)
これは平文保存よりはマシ、と言った類の物で、データベースが何らかの方法で盗まれても、
別途キーを盗まれない限りはパスワードの漏洩が発生しない。ソルトはあったほうが良い。
オペレーターがパスワードを復元できる必要がある場合の次善の策といった所。
安全を期すなら、通常のシステム内にはハッシュ化したものを保管して、
復元用の暗号化済みパスワードはネットワークから完全に一方向に分断されたシステム内に保存するべき。
フォトカプラとかで物理的に単方向の信号線以外オフラインなサーバ兼端末にデータ突っ込むとか良さげ。
Re:暗号化とハッシュ化 (スコア:1)
> ・パスワード自身で暗号化する(ハッシュの衝突による誤ったログインを生じさせない)
これはない。
ハッシュ衝突よりもブルートフォースの1回めが偶然パスワードにドンピシャあたるほうがまだ確率が高い。