アカウント名:
パスワード:
どのようにパスワードを保存しているか知る方法ってありますか?
・平文・SHA1・MD5・password_hash()・crypt()
平文かもしれないし、可逆暗号かもしれないし、ハッシュかもしれない。個別に聞けば教えてくれるかも。
例外的に、Have I Been Pwned [haveibeenpwned.com]のようにハッシュ化したパスワードを送信させていることがスクリプトやパケットキャプチャで確認できればそれとわかるし、パスワードリマインダーなどでパスワードを平文で送ってくるっぽいサイト [azurewebsites.net]は少なくともハッシュではないとわかる。プロバイダのPPPoE接続パスワードもCHAPの特性上、平文または可逆暗号化保存。
いずれにせよ、パスワードを使い回さなければパスワードの保存方法を気にする必要はない。容易に変更できない個人情報の保存方法を気にするべき。
相手の自己申告以外の方法は無いと思うけど、それを知りたい理由を知りたい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
相手のサイトが (スコア:0)
どのようにパスワードを保存しているか知る方法ってありますか?
・平文
・SHA1
・MD5
・password_hash()
・crypt()
Re: (スコア:0)
平文かもしれないし、可逆暗号かもしれないし、ハッシュかもしれない。個別に聞けば教えてくれるかも。
例外的に、Have I Been Pwned [haveibeenpwned.com]のようにハッシュ化したパスワードを送信させていることがスクリプトやパケットキャプチャで確認できればそれとわかるし、パスワードリマインダーなどでパスワードを平文で送ってくるっぽいサイト [azurewebsites.net]は少なくともハッシュではないとわかる。プロバイダのPPPoE接続パスワードもCHAPの特性上、平文または可逆暗号化保存。
いずれにせよ、パスワードを使い回さなければパスワードの保存方法を気にする必要はない。容易に変更できない個人情報の保存方法を気にするべき。
Re: (スコア:0)
相手の自己申告以外の方法は無いと思うけど、それを知りたい理由を知りたい。