アカウント名:
パスワード:
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけどHSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
平文パスワードを提示可能(=復号可能)な暗号化ではダメ
なんでだめなの?暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?流出後一定期間生パスワードが保護できればいいんだけど・・・もしかしてハッシュ化していれば生パスワードはばれないって思ってる?別に総当たりでいつかばれることは変わらないよ?
最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど複合化出来るからダメ!って何が問題なのか全くわからん暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス
ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる
漏れてる時点で大して変わらんが・・・一個でも漏れたら「その一個が複合化されるまでの時間」が強度の評価時間であって一個解けても「次が解けるまで時間かかるから大丈夫」はハッシュ関数の強度の選択事由になりません
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
ぶっちゃけた話 (スコア:0)
別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ
平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて
本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけど
HSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし
Re: (スコア:0)
平文パスワードを提示可能(=復号可能)な暗号化ではダメ
Re: (スコア:0)
なんでだめなの?
暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?
流出後一定期間生パスワードが保護できればいいんだけど・・・
もしかしてハッシュ化していれば生パスワードはばれないって思ってる?
別に総当たりでいつかばれることは変わらないよ?
最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど
複合化出来るからダメ!って何が問題なのか全くわからん
暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス
Re: (スコア:0)
ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる
Re:ぶっちゃけた話 (スコア:0)
漏れてる時点で大して変わらんが・・・
一個でも漏れたら「その一個が複合化されるまでの時間」が強度の評価時間であって
一個解けても「次が解けるまで時間かかるから大丈夫」はハッシュ関数の強度の選択事由になりません