パスワードを忘れた? アカウント作成
397924 journal

nakagamiの日記: パスワードのしまい方 1

日記 by nakagami

開発しているでもなく、使っているでもない、
なんとなく概要だけ聞いていたとあるシステムの話。
ユーザーIDとパスワードを RDBにしまってあるのだけれど、
なんとパスワードをそのまま*平文*でしまってあることを最近知った。
構成から考えて、パスワードを平文でしまっておいて、後で交換した鍵を
含めて暗号化する必要があるわけではないことは確か。
阿呆か!
しかも、パスワードを忘れたユーザーに教えてあげられるように、
管理者用の画面からは、*そのパスワードが見れる*らしい。
セキュリティはともかくとして、
「Sachiko my love」などと入れている私のパスワードが見られたら
恥ずかしいじゃないか。(パスワードはフィクションです)

こんな阿呆なことやっているのは、こいつらだけだろう・・・と
いいたいところだが、実は、別のところで データの中身を見ると
(処理プログラムは一切見ていない)
見るからに、こいつがパスワードだろうというフィールドに、
明らかに「16進変換しただけだろう」という値が入っていた
(長さがまちまちで、0~Fの文字だけが入っている)
別物を見たことがある。
おいおい、世の中には 16進のコードを見ただけで ASCII文字列に
変換できるおじさんが山ほどいるんだよ。

作る側は、あいも変わらずこんな素人くさいことをしているのに、
(もちろん、ちゃんとしている人はちゃんとしている)
クラックする側は、どんどん高度化して行く。
そりゃ事件も起きるよなぁ

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by wtnabe (16084) on 2004年02月18日 11時21分 (#498020) 日記
    ユーザーがバカすぎるんじゃないかと。
    システムの利用にメールを義務付けて、すべてのパスワードをユーザーが
    自分宛てに送信できる(それだってけっこうアレだけど)とか、そういう
    仕組みにしていないと「すいません、パスワード忘れたんで教えてください」
    に対応できないわけで。

    運用上の理由でそうなっているとか、ないですか?

    # 自分の身近にあるのは絶対内緒です
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...