アカウント名:
パスワード:
3年前の総務省のwebサービス調査によるとhttp://www.soumu.go.jp/main_content/000370852.pdf [soumu.go.jp]パスワードの暗号化もハッシュ化もしてないのが14%もある。
ただ、この調査は200社弱に調査協力を依頼して28社だけしか回答してもらえなかったものなので、回答した会社はかなりちゃんとしたところ(つまりダメダメな会社はガン無視)なので実際はもっと低いのではないかと推測される。
一概にハッシュ化と言ってもどのようなアルゴリズムを使っているのかも調べたほうがいいですね。ハッシュアルゴリズム、鍵導出アルゴリズム、イテレーション回数などで大きく変わってきます。
パスワードベースの鍵導出関数(PBKDF2やscryptなど)をどのように使うべきか規格らしいものが定められていないので「CRYPTREC暗号リスト」などにもこういった基準を追加すべきではないかと思います。
みんな理屈としてはハッシュと塩にして…は理解してても・パスワード忘れたときに再発行ではなく教えてほしいって客の要望に屈した・連携する外部のシステムがあれこれのauthorizationの仕組み使ってなくて平文でID/PW渡すしかないでパスワードを復号できる形で永続化する事例多々多々なんだよな。特に後者はエコシステム全体を汚染していく。悲惨だ。
宅ふぁいる便に関しては、パスワード紛失時は再発行なので言い訳の余地はない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:4, 参考になる)
3年前の総務省のwebサービス調査によると
http://www.soumu.go.jp/main_content/000370852.pdf [soumu.go.jp]
パスワードの暗号化もハッシュ化もしてないのが14%もある。
ただ、この調査は200社弱に調査協力を依頼して28社だけしか回答してもらえなかったものなので、回答した会社はかなりちゃんとしたところ(つまりダメダメな会社はガン無視)なので実際はもっと低いのではないかと推測される。
Re:パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:1)
一概にハッシュ化と言ってもどのようなアルゴリズムを使っているのかも調べたほうがいいですね。
ハッシュアルゴリズム、鍵導出アルゴリズム、イテレーション回数などで大きく変わってきます。
パスワードベースの鍵導出関数(PBKDF2やscryptなど)を
どのように使うべきか規格らしいものが定められていないので
「CRYPTREC暗号リスト」などにもこういった基準を追加すべきではないかと思います。
Re:パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:1)
みんな理屈としてはハッシュと塩にして…は理解してても
・パスワード忘れたときに再発行ではなく教えてほしいって客の要望に屈した
・連携する外部のシステムがあれこれのauthorizationの仕組み使ってなくて平文でID/PW渡すしかない
でパスワードを復号できる形で永続化する事例多々多々なんだよな。特に後者はエコシステム全体を汚染していく。悲惨だ。
Re: (スコア:0)
宅ふぁいる便に関しては、パスワード紛失時は再発行なので言い訳の余地はない