アカウント名:
パスワード:
この件と直接関係はないと思うけど、昔はパスワードハッシュへの理解って低かったよね。昔々の2chに「パワハラしたらエンジニアが辞めちゃって、顧客から顧客情報の問い合わせがあって、問い詰めたけど暗号化を解除する方法をどうしても吐かない、解読不可能だと嘘をついている。誰か手伝ってくれ」って大意の質問があったなあ。
スレ住民がエスパーしてその「顧客情報」はパスワードのことで、「解読不可能な暗号」はハッシュ化のことで、つまり解読は不可能だけどする必要もなく、単に古いパスワードを消して再登録させればいいんだ、新しいエンジニアを探してそう依頼しろとこんこんと説明して何とか納得させてた覚えがある。
それで納得しない人がいると、では平文保存、となっちゃうのかなあ。
昔はハッシュ関数でもなくDESや3DESだった。(未だにパスワード8文字制限の所があってげんなりする)今なら数秒で解読できるけど、まだそういう昔の方法や弱いハッシュ使っているところも多いのだろうな
実際、ADですら「復元可能な形でパスワードを保存」なんてオプションがあるくらいだから、ハッシュでは対応できない認証システムは山のようにある。
大企業のイントラで導入されてる「統合認証基盤」はだいたいそう。
適当こくな、あれはSAMLとかOAuthとか使ってるから復元可能なパスワードなんか持つ必要ないぞ。
まあPeingの事例でわかるようにバカは常に想定の斜め上を行くんだがな
古いところだと、SASLのDIGEST-MD5のような、復元可能でないといけない認証方式が生き残っているのではないでしょうか?
古いところにそういうのが残ってる可能性はあるが、どう考えても「だいたいそう」は言い過ぎ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
昔の2chを思い出す (スコア:1)
この件と直接関係はないと思うけど、昔はパスワードハッシュへの理解って低かったよね。昔々の2chに「パワハラしたらエンジニアが辞めちゃって、顧客から顧客情報の問い合わせがあって、問い詰めたけど暗号化を解除する方法をどうしても吐かない、解読不可能だと嘘をついている。誰か手伝ってくれ」って大意の質問があったなあ。
スレ住民がエスパーしてその「顧客情報」はパスワードのことで、「解読不可能な暗号」はハッシュ化のことで、つまり解読は不可能だけどする必要もなく、単に古いパスワードを消して再登録させればいいんだ、新しいエンジニアを探してそう依頼しろとこんこんと説明して何とか納得させてた覚えがある。
それで納得しない人がいると、では平文保存、となっちゃうのかなあ。
Re: (スコア:1)
昔はハッシュ関数でもなくDESや3DESだった。(未だにパスワード8文字制限の所があってげんなりする)
今なら数秒で解読できるけど、まだそういう昔の方法や弱いハッシュ使っているところも多いのだろうな
Re:昔の2chを思い出す (スコア:1)
実際、ADですら「復元可能な形でパスワードを保存」なんてオプションがあるくらいだから、
ハッシュでは対応できない認証システムは山のようにある。
大企業のイントラで導入されてる「統合認証基盤」はだいたいそう。
Re: (スコア:0)
大企業のイントラで導入されてる「統合認証基盤」はだいたいそう。
適当こくな、あれはSAMLとかOAuthとか使ってるから復元可能なパスワードなんか持つ必要ないぞ。
Re: (スコア:0)
まあPeingの事例でわかるようにバカは常に想定の斜め上を行くんだがな
Re: (スコア:0)
古いところだと、SASLのDIGEST-MD5のような、復元可能でないといけない認証方式が生き残っているのではないでしょうか?
Re: (スコア:0)
古いところにそういうのが残ってる可能性はあるが、どう考えても「だいたいそう」は言い過ぎ。