アカウント名:
パスワード:
電話番号は桁数が11桁の数字に固定されているので、DBが漏れた場合はマイナンバーと同様に可能な全パターンをハッシュして持っておくことで簡単に照合可能だとか叩かれてたな。
さすがに塩ぐらい振っているのではないか?
元の空間が限られていて普通に考えてハッシュの方が広いから、どんな塩振ったところで0から10^11までの整数のハッシュと比較できるのさ。大体今時のグラボなら1枚で秒間4千万件くらい処理できるだろ?携帯の番号なら頭は020, 080, 090のどれかだし、キャリア毎の割り当てもあって更に狭いしな。一旦漏れれば数秒程度で全番号の対応表ができるはずだ。
それはストレッチングしてない前提ですね。
ストレッチング回数を増やして実用十分な強度を達成すると鯖の運営費が釣り合わなくなると思うよ
ハッシュだけならサーバーで計算しなくてもJavascriptで計算すればいい。さらにサーバー側で受け取ったハッシュに鍵付きハッシュを付けて保存しておけばリストが漏れたときの強度があがる。
どういう風に使うつもりなんか知らんがそんなにコスト食わんぞ…?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
いくらハッシュしても電話番号空間は狭いという話 (スコア:2, すばらしい洞察)
電話番号は桁数が11桁の数字に固定されているので、DBが漏れた場合はマイナンバーと同様に可能な全パターンをハッシュして持っておくことで簡単に照合可能だとか叩かれてたな。
Re: (スコア:0)
さすがに塩ぐらい振っているのではないか?
Re: (スコア:0)
元の空間が限られていて普通に考えてハッシュの方が広いから、どんな塩振ったところで0から10^11までの整数のハッシュと比較できるのさ。大体今時のグラボなら1枚で秒間4千万件くらい処理できるだろ?
携帯の番号なら頭は020, 080, 090のどれかだし、キャリア毎の割り当てもあって更に狭いしな。一旦漏れれば数秒程度で全番号の対応表ができるはずだ。
Re: (スコア:0)
それはストレッチングしてない前提ですね。
Re:いくらハッシュしても電話番号空間は狭いという話 (スコア:0)
ストレッチング回数を増やして実用十分な強度を達成すると鯖の運営費が釣り合わなくなると思うよ
Re: (スコア:0)
ハッシュだけならサーバーで計算しなくてもJavascriptで計算すればいい。
さらにサーバー側で受け取ったハッシュに鍵付きハッシュを付けて保存しておけば
リストが漏れたときの強度があがる。
Re: (スコア:0)
どういう風に使うつもりなんか知らんがそんなにコスト食わんぞ…?