パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

税務署が同姓同名の別人にe-Taxの識別番号と暗証番号を教えてしまう事案」記事へのコメント

  • 税務署の過失は免れないだろう

    • by Anonymous Coward

      どう確認したとしてもパスワードは教えちゃいかんでしょ

      • by Anonymous Coward

        教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・
        (Salt値付きでハッシュ化して格納、が最低ライン)

        • セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。

          何故「Salt値付きでハッシュ化して格納」する必要があるんですか?
          パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。
          高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。
          Cookieのログイントークンをデータベース

          • by Anonymous Coward

            ストレッチはやめたほうがええというのはわかるが、
            これ聞いてもハッシュしない方がいいとまでは思えんな
            ハッシュ化するコストは知れてるからハッシュ化はしたほうがええと思うね

            • 普通はハッシュ化はするんだよ。「ハッシュ化するコストは知れてるからハッシュ化はしたほうがええと思うね」は正しい。
              でも理論的に必須では無くて、目的によりハッシュ化をしないオプションも十分あり得る。
              ハッシュ化は情報保護の戦略のひとつに過ぎないにもかかわらず、
              それをやっていれば善、そうでなければ悪みたいな単純な考え方をしている人がダメなのよ。

              親コメント
              • by Anonymous Coward

                申し訳ないが十分あり得るとまでは思えないなぁ…

最初のバージョンは常に打ち捨てられる。

処理中...