アカウント名:
パスワード:
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?
無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。で
> 簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)と> 10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワード
の間に、結構な領域があるのでは。(つまり極論では?)
私の場合、英文フレーズの各単語から文字を抽出(=辞書にない)+数字を入れた、10文字程度のパスワード、などを使う。だが、別にセキュリティマニアではないので、
> でも、そういう強度の高いパスワードをつけるようなセキュリティマニアは、そもそもパスワードを使いまわししない
という想定は成り立たない。(主観的なセキュリティクラスごとに、何種類かを使いまわしする)そういう人も少なくないと思うのだが。
むしろ、情報が漏れた場合に「安易なパスワードユーザ」も「ある程度工夫したパスワードを使うユーザ」も、区別なしに瞬時に再利用できる生パスワード保存は、可能な防御もしていない点で、充分に非難されることだと思う。
つまり、今でも業者がハッシュ化の意味は十分あるし、すべきだと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
いい加減に (スコア:0)
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
GPUクラウドの時代、ハッシュ化しても無駄です (スコア:3, 興味深い)
GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。
ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?
無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。
で
極論では (スコア:0)
> 簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)
と
> 10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワード
の間に、結構な領域があるのでは。(つまり極論では?)
私の場合、英文フレーズの各単語から文字を抽出(=辞書にない)+数字を入れた、10文字程度のパスワード、などを使う。
だが、別にセキュリティマニアではないので、
> でも、そういう強度の高いパスワードをつけるようなセキュリティマニアは、そもそもパスワードを使いまわししない
という想定は成り立たない。(主観的なセキュリティクラスごとに、何種類かを使いまわしする)
そういう人も少なくないと思うのだが。
むしろ、情報が漏れた場合に「安易なパスワードユーザ」も「ある程度工夫したパスワードを使うユーザ」も、区別なしに瞬時に再利用できる生パスワード保存は、可能な防御もしていない点で、充分に非難されることだと思う。
つまり、今でも業者がハッシュ化の意味は十分あるし、すべきだと思う。