アカウント名:
パスワード:
たまに初回登録時にID:xx PW:xxですって書いてあるメールが来るところはあるけど、それが問題?それともパスワード再登録とかパスワード忘れたとかの時にメールでパスワードこれですって送るのが問題?
まぁ全部問題か。解決策としたらパスワード忘れたときは教えるのではなく強制変更にして、期限付きセッションIDを付けたURL送って、期間内にそこから変更してくれでいいんじゃねーの?
初回登録時はパスワードはセキュリティのため表示しませんでいいと思う既にそうしてるところもあったし。どこだったかは忘れたけど
問題視しているのは・生パスワードを保存しているであろうこと・多くの大学生がこういう製品を自覚なく使っているであろうことメールで送ってくることよりも生パスワードを保存しているっぽいのを問題にしてます。
技術的には解決は簡単です。salt付きでハッシュ関数を通せばいいんです。
#元増田なのでAC
digest-md5みたいなチャレンジ-レスポンス系の認証プロトコルを実装したい場合、生パス無しでどうやります?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
これはどういう時のを問題視しているの? (スコア:0)
たまに初回登録時にID:xx PW:xxですって書いてあるメールが来るところはあるけど、それが問題?
それともパスワード再登録とかパスワード忘れたとかの時にメールでパスワードこれですって送るのが問題?
まぁ全部問題か。解決策としたらパスワード忘れたときは教えるのではなく強制変更にして、
期限付きセッションIDを付けたURL送って、期間内にそこから変更してくれでいいんじゃねーの?
初回登録時はパスワードはセキュリティのため表示しませんでいいと思う
既にそうしてるところもあったし。どこだったかは忘れたけど
Re: (スコア:0)
問題視しているのは
・生パスワードを保存しているであろうこと
・多くの大学生がこういう製品を自覚なく使っているであろうこと
メールで送ってくることよりも生パスワードを保存しているっぽいのを問題にしてます。
技術的には解決は簡単です。salt付きでハッシュ関数を通せばいいんです。
#元増田なのでAC
Re: (スコア:0)
digest-md5みたいなチャレンジ-レスポンス系の認証プロトコルを実装したい場合、生パス無しでどうやります?
Re:これはどういう時のを問題視しているの? (スコア:0)