パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ドコモとソフトバンクに平文パスワード提示機能が存在。セキュリティ上の懸念が指摘される」記事へのコメント

  • by Anonymous Coward

    別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ

    平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて
    本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけど
    HSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし

    • by Anonymous Coward

      平文パスワードを提示可能(=復号可能)な暗号化ではダメ

      • by Anonymous Coward on 2022年03月18日 13時46分 (#4217907)

        なんでだめなの?
        暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?
        流出後一定期間生パスワードが保護できればいいんだけど・・・
        もしかしてハッシュ化していれば生パスワードはばれないって思ってる?
        別に総当たりでいつかばれることは変わらないよ?

        最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど
        複合化出来るからダメ!って何が問題なのか全くわからん
        暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス

        親コメント
        • by Anonymous Coward on 2022年03月18日 14時14分 (#4217922)

          複合警察と復号化警察が来たぞー

          ○復号
          ×復号化
          ×複合
          ××複合化

          「平文」(名詞)を、「暗号化」(動詞、encryptの訳語)したら「暗号」(名詞)になる。暗号にするから暗号化。
          「暗号」(名詞)を、「復号」(動詞、decryptの訳語)したら、「平文」(名詞)になる。復号にするわけじゃないから「復号化」じゃない。

          複合はcomplex。同音異義語で全然意味が違う。
          暗号の複合とかプリント基盤とか書かれた文章は
          その内容の信憑性を一段低くみてしまいます。複合化なら二段低い。

          親コメント
          • by Anonymous Coward

            「復号化」ならだましも、復号と複合の誤用をしている人の御託は一切信用できんわな。
            そういう一見小さいところの見落としや「通じるからいいじゃん」的な思考はそれこそセキュリティの穴の元。

        • by Anonymous Coward

          ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる

          • by Anonymous Coward

            論旨にはあまり関係ないだろうけど勝手に補足すると、それはソルト付きハッシュの場合だね。

          • by Anonymous Coward

            漏れてる時点で大して変わらんが・・・
            一個でも漏れたら「その一個が複合化されるまでの時間」が強度の評価時間であって
            一個解けても「次が解けるまで時間かかるから大丈夫」はハッシュ関数の強度の選択事由になりません

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...