パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

APOPにパスワード漏洩の脆弱性」記事へのコメント

  • 過去のストーリーを探すとわかりますが、そもそももはやMD5自体が安全なハッシュでは無くなっています。
    これはコンピュータの計算力向上に桁が追い付いてないだけなので、いつまでたってもいたちごっこでしょうね。

    すでにPerlのDigest::SHAではSHA-1/224/256/384/512をサポートしています。
    定期的に桁数をあげるようにしていかないといけませんね。

    # タレコミいっぱいなおしていただいて、ありがとうございます >編集者さま
    • by Anonymous Coward on 2007年04月19日 12時49分 (#1145013)
      読売の記事 [yomiuri.co.jp]には

      暗号化のカギとなる「MD5」を逆にさかのぼり、暗号化する前のパスワードに戻す手法を見つけた。

      と書かれているが、朝刊で読んだときにはMD5を可逆変換?そんなバカな!と思った。
      ハッシュのコリジョンを一般人に説明するとしたらこういう表現になるのだろうか…
      親コメント
      • どこまでが正しく理解しているのか不明なのですが、記者レベルではすでに伝言ゲームに失敗してるかと。もっと直接的にパスワード同じにするなと書いてある記事もみたような。

        単に同じハッシュを導き出せる元ネタを計算する方法があるって解釈でいいのですよね?
        てことは、そのネタを使って他のサイトにアタックしても必ず入れるわけじゃないってことでいいんですよね?

        # パスワード個別に設定するに越したことはな。それは理解できるけど、忘れちゃうんだよね。

物事のやり方は一つではない -- Perlな人

処理中...