アカウント名:
パスワード:
一体何年前の感覚なんだろう。暗号化してても意味無い。システム側にはパスワードはハッシュ化して保存してれば十分。
リンク先を読むと、おそらくパスワードは生ではなく、ハッシュされた文字列を保存していたのでしょう。
ただ、パスワードの文字列を単純にハッシュ処理して保存していたことが問題のようです。サーバー側で文字列の付加や再帰的なハッシュ処理していればもう少し強くなったでしょうに…。
いくらハッシュでも単純な文字列だと既知のハッシュ対応データベースがありますので、元のパスワード文字列が推測可能です。そのため「暗号化はされていたけど総当たり攻撃されるとバレて、同じIDとパスワードを組み合わせて利用していると危険なので対応お願いします。」ってことじゃないかな。
名前を知らずに使っていました。ソルト処理というのですか…勉強させて頂きました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
生パスワードを保存する必要性って何? (スコア:1)
一体何年前の感覚なんだろう。暗号化してても意味無い。システム側にはパスワードはハッシュ化して保存してれば十分。
Re: (スコア:1, 参考になる)
リンク先を読むと、おそらくパスワードは生ではなく、ハッシュされた文字列を保存していたのでしょう。
ただ、パスワードの文字列を単純にハッシュ処理して保存していたことが問題のようです。
サーバー側で文字列の付加や再帰的なハッシュ処理していればもう少し強くなったでしょうに…。
いくらハッシュでも単純な文字列だと既知のハッシュ対応データベースがありますので、元のパスワード文字列が推測可能です。
そのため「暗号化はされていたけど総当たり攻撃されるとバレて、同じIDとパスワードを組み合わせて利用していると危険なので対応お願いします。」ってことじゃないかな。
Re:生パスワードを保存する必要性って何? (スコア:2, 参考になる)
Re: (スコア:0)
名前を知らずに使っていました。ソルト処理というのですか…勉強させて頂きました。