アカウント名:
パスワード:
3年前の総務省のwebサービス調査によるとhttp://www.soumu.go.jp/main_content/000370852.pdf [soumu.go.jp]パスワードの暗号化もハッシュ化もしてないのが14%もある。
ただ、この調査は200社弱に調査協力を依頼して28社だけしか回答してもらえなかったものなので、回答した会社はかなりちゃんとしたところ(つまりダメダメな会社はガン無視)なので実際はもっと低いのではないかと推測される。
一概にハッシュ化と言ってもどのようなアルゴリズムを使っているのかも調べたほうがいいですね。ハッシュアルゴリズム、鍵導出アルゴリズム、イテレーション回数などで大きく変わってきます。
パスワードベースの鍵導出関数(PBKDF2やscryptなど)をどのように使うべきか規格らしいものが定められていないので「CRYPTREC暗号リスト」などにもこういった基準を追加すべきではないかと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:4, 参考になる)
3年前の総務省のwebサービス調査によると
http://www.soumu.go.jp/main_content/000370852.pdf [soumu.go.jp]
パスワードの暗号化もハッシュ化もしてないのが14%もある。
ただ、この調査は200社弱に調査協力を依頼して28社だけしか回答してもらえなかったものなので、回答した会社はかなりちゃんとしたところ(つまりダメダメな会社はガン無視)なので実際はもっと低いのではないかと推測される。
Re:パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:1)
一概にハッシュ化と言ってもどのようなアルゴリズムを使っているのかも調べたほうがいいですね。
ハッシュアルゴリズム、鍵導出アルゴリズム、イテレーション回数などで大きく変わってきます。
パスワードベースの鍵導出関数(PBKDF2やscryptなど)を
どのように使うべきか規格らしいものが定められていないので
「CRYPTREC暗号リスト」などにもこういった基準を追加すべきではないかと思います。