■ このスレッドは過去ログ倉庫に格納されています
ドコモ「パスワードはサーバーに平文で厳重に管理してるから安心しろ」 [597297612]
- 1 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:20:18.28 ID:3QMm6efI0.net ?2BP(1000)
- https://img.5ch.net/ico/nida.gif
LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。
ドコモ:
基本的には(パスワードをお忘れの方には)パスワードの再設定をお願いしている。ユーザーの利便性のために用意しているパスワードの確認機能を使った場合は、自分で設定したパスワードをdアカウント内のみで(平文として)確認できるが、パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。
ソフトバンク:
パスワードを平文で送信しているのは事実。ユーザーへの利便性の観点から実装していた。ただ、昨今の情報セキュリティ動向を踏まえると平文による通知は見直す必要があると認識しており、見直しの検討に入っている。
https://www.itmedia.co.jp/news/spv/2203/15/news172.html
- 2 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:20:37.40 ID:3QMm6efI0.net
- まじかよ
- 3 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:20:54.56 ID:3QMm6efI0.net
- 厳重に管理してるなら安心だな
- 4 :番組の途中ですがアフィサイトへの\(^o^)/です:2022/03/16(水) 00:22:20.76 .net
- 大昔のフリー掲示板CGIかな
- 5 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:22:55.70 ID:HrtOARlw0.net
- 普通ハッシュだろ
- 6 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:23:09.87 ID:5P+1zBn20.net
- ラインモのンモの部分がケンモみあるよね
- 7 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:23:24.94 ID:BFfrPTCF0.net
- これ記事にあるようにハッシュ値にしたら事業者自身もわからなくなって本人が忘れたら確認するすべがなくなるから現実的じゃないと思う
- 8 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:23:27.81 ID:21kHoAhHM.net
- デジタル庁も安心です
- 9 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:23:54.21 ID:9eARO8IA0.net
- 事故も発生してない相手にありもしないことで文句をつけるなんて何様なんだ
誹謗中傷で開示されちゃうかもしれないぞ
- 10 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:24:05.53 ID:9fLFVAJQH.net
- 同じパスワード使いまわしてる人はアウトだろうな
- 11 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:24:30.77 ID:Xa0CWYET0.net
- >>7
なにいってだこいつ
- 12 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:25:04.40 ID:YLA46YLh0.net
- 暗号化したとしても解けるから意味ないん?
- 13 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:25:06.40 ID:Fh6UK6G10.net
- 安心したわ
- 14 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:25:17.62 ID:Pk5pgZ8z0.net
- こんな事言うと狙われるんじゃ...
- 15 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:25:20.90 ID:d4U9fgxL0.net
- いいこと聞いたわ
- 16 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:25:40.81 ID:QaGxqtIe0.net
- >>7
再設定すりゃいいだろ
- 17 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:25:52.63 ID:MT8tFk5F0.net
- サーバー内では暗号化してて送信時は平文ってこと?
- 18 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:26:17.80 ID:BFfrPTCF0.net
- >>11
ハッシュ値での保持の意味分かってる?
パスワード通知がシステム上出来なくなるよ
- 19 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:26:32.55 ID:KERJY5GdM.net
- IT更新国の末路
- 20 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:26:37.23 ID:SerJsa3AM.net
- 平文保持て何十年前のセキュリティ感覚なのか…
- 21 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:26:48.91 ID:IsxubNOs0.net
- あまりにもパスワード教えろって電話が多いんだろ
- 22 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:26:54.40 ID:BFfrPTCF0.net
- >>16
まぁそうだけどジジババなんかは何回も再設定しまくることになる
- 23 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:27:19.26 ID:0YlIhZ1V0.net
- >>18
パスワード通知するサービス自体が前提からしておかしいってんだよ
- 24 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:27:23.87 ID:VsF+JeIe0.net
- >>7
実際これはあると思う
アカウントの概念が分からない奴が適当に作って詰む場合があるからやばい
- 25 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:27:45.88 ID:9fLFVAJQH.net
- >>18
パスワード再設定の間違いでは
- 26 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:27:51.86 ID:9eARO8IA0.net
- ジャップにハッシュとか言ってもわかんねえだろ
紙と鉛筆にして、厳重に保管すりゃ良いんだよ
- 27 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:28:12.02 ID:tXGJJ9280.net
- >>22
セキュリティリスクより老人を取るのは草
- 28 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:28:27.36 ID:3ubPcs2h0.net
- 普通はパスワードは忘れたら再設定のみってことよ
あなたのパスワードはこれですよ〜 って平成かよ
- 29 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:29:09.41 ID:9fLFVAJQH.net
- ハッシュ値は5chのIDだよ
IPアドレスからIDは計算できるけど
IDからIPアドレスは計算できない
- 30 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:29:15.90 ID:GrSufP6I0.net
- > 見直しの検討に入っている。
訳「何もしてない」
- 31 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:29:21.45 ID:UUEkdWB/0.net
- パスワード通知
定期的に変更
秘密の質問
- 32 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:29:27.60 ID:BFfrPTCF0.net
- >>17
いや記事読む感じドコモもソフバンも送信時も暗号化(ssl)してると思うよ
LINEMOのSMS送信が怪しい(SMSって送信経路暗号化されてるの?)
記事が言いたいのはパスワードをそのまま持つなハッシュ値にしろってことだろうけど
- 33 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:30:03.30 ID:BFfrPTCF0.net
- >>25
?
ハッシュ値で管理してたらパスワード通知は出来ないよ?
- 34 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:30:09.54 ID:TIj5+IjTa.net
- ●流出覚えてる奴いる?
あれ衝撃だったよな
でももうあれ10年前だぜ
- 35 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:30:15.55 ID:geqfcIL30.net
- 昭和の老害
・パスワードの仕組みがわからない
・公開鍵暗号がわからない
・オープンソースがわからない
- 36 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:30:58.19 ID:6twRW0pH0.net
- マジでパスワードは使い回すな
これは最低限
相手がどう管理してるか分からないから
- 37 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:31:10.36 ID:M2rpVZ1la.net
- ハッシュ化しててもソルト付けてなさそう
- 38 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:31:19.10 ID:9fLFVAJQH.net
- >>34
俺のフォルダにも
みんなのフォルダにも眠ってる
- 39 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:32:38.28 ID:JFiQjBft0.net
- パスワード平文って普通ハッシュ化して保存しないのか?
- 40 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:33:16.32 ID:Jy5XPg3t0.net
- よく分からんけど普通は公開鍵と秘密鍵のペアで暗号化して秘密鍵をローカルの社外秘なマシン上に置いておくんじゃないの?
- 41 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:33:19.34 ID:1XK4E7460.net
- とかいいつつこの記者もブラウザに保存してるんだろ?
- 42 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:33:23.96 ID:ags8oTTb0.net
- 俺の勤務先もそうだよ
データベースに平文でぶち込んでる
- 43 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:33:52.52 ID:FsLbxiah0.net
- パスワードがデータベースに平文で保存されてるなら、
悪意ある社員やハッカーの手で漏洩する可能性があるってことだろ
クレカのセキュリティコードとかも保存禁止なのに保存してたとこあったな
- 44 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:34:16.19 ID:KeUC7nrZ0.net
- 見直しの検討www
- 45 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:34:19.26 ID:bF83Seca0.net
- 知ってた
わーくにのセキュリティ意識は世界的にも底辺
- 46 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:34:48.28 ID:h+DTArfj0.net
- 俺が20年以上前に見よう見まねでCGI掲示板作った時すら
平文はダメ忘れたら再発行っていう仕様にしてたのに
- 47 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:34:55.80 ID:6twRW0pH0.net
- >>40
暗号化は普通じゃない
普通はハッシュ化
- 48 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:34:56.84 ID:P5+bZE/m0.net
- ドコモ口座でやらかしてるのにガバガバだな
- 49 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:35:09.67 ID:VZhI1Loc0.net
- そもそもなんでそんな余計な機能追加してんだよ
頭沸いてんのか
- 50 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:35:44.94 ID:6XbfLdj50.net
- いや普通にパスワードは本人に再設定させろよ
どうせショップで自分のパスワードわからないようなカモを客にしているから
再設定なんてさせたらカモが何故かキレ出して逃げるような民度だろうし
その客に合わせたレベルのセキュリティなんだろうけど
- 51 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:35:47.88 ID:x1j78Muq0.net
- パスワードは忘れてもいいもの
パスワードの再設定は何度行ってもいいもの
まずこの認識を持ってない奴が多すぎる
パスワードを忘れる事をリスクだと思ってる奴は根本的にばか
- 52 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:35:56.18 ID:ags8oTTb0.net
- 古臭いシステムだと多分多いんじゃないかな?
- 53 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:36:13.58 ID:7nv3WAAMa.net
- >>40
復号化できてはダメ
- 54 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:36:24.48 ID:BFfrPTCF0.net
- パスワード忘れたらリセットしろ
こっちも分からんから教えられん
と割りきれればハッシュ値で保存が一番いい
でも結構『あんたのパスワードは●●ですよ』って教えてくれるサービスまだまだ多いけどね
- 55 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:36:28.22 ID:N3HmQqcK0.net
- 頭ゆとり平成かよ
こういう無能連中がいるから、自衛のために偽情報で垢作らなきゃならんのだが
- 56 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:37:23.11 ID:G5reCqS50.net
- まともなところは本人確認出来たら再設定を可能にするんだが
- 57 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:37:41.77 ID:ags8oTTb0.net
- これだからパスワードレスを進めろと言ってるんだよ
管理も面倒なんじゃ
- 58 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:37:54.49 ID:N3HmQqcK0.net
- >>53
「復号化」という言葉は無い
「暗号化」の対は「復号」
- 59 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:38:01.03 ID:iZ+x7Y7R0.net
- アホかとw
- 60 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:38:41.03 ID:Jy5XPg3t0.net
- >>47
ハッシュ化するためのハッシュ関数の仕組みがよく分からんのよね
関数のアルゴリズムが何種類かあるのは知ってるけどさ
例えば任意のアルゴリズム持ったハッシュ関数で生成されたハッシュに対して、暗号化に使ったアルゴリズムもう一度適用すれば復号できちゃったりしないの?
- 61 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:39:52.26 ID:bF83Seca0.net
- >>51
マイナンバーカードのパスワードを忘れて3回間違えると平日就業時間内に役所に出向いてロック解除とパスワード変更手続きしないとだめなんだぜ・・・
- 62 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:40:29.03 ID:BFfrPTCF0.net
- >>60
できない
ハッシュはそういうもん
Aをハッシュ化したA'からAを復元することはできない
- 63 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:40:36.96 ID:DbdpT2370.net
- 楽天証券も「あなたのパスワードは脆弱です」ってメールきたから多分平文で持ってる
- 64 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:40:46.14 ID:x1j78Muq0.net
- >>60
暗号技術入門って良書があるからおすすめ
- 65 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:41:33.05 ID:ngqe58cf0.net
- クソワロタ
もう何ならできるんだよジャップは
- 66 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:42:09.00 ID:wsqtTCVUM.net
- 平文で管理とか要件定義段階でセキリュティ部門から指摘くるだろ
- 67 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:43:19.80 ID:oDQYfVSHa.net
- 平野文?
- 68 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:43:44.02 ID:9fLFVAJQH.net
- >>60
ただの割り算の余りだよ
余りから元の式はわからない
- 69 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:44:42.87 ID:9eARO8IA0.net
- 銀行のキャッシュカードなんて未だに数字4桁だし、2年ほど前にドコモ口座事件があったけど報道規制食らってたのかあっさり風化してる
- 70 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:45:00.24 ID:eHXEPP1B0.net
- 死ねよ低技術者
- 71 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:45:17.10 ID:BFfrPTCF0.net
- みんなどうせChromeとかiCloudにパスワード覚えさせてるくせに
あれだってこの記事の書き方なら平文だわ
- 72 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:45:19.73 ID:6twRW0pH0.net
- >>60
よくあるハッシュ関数の例だと割り算の余り
元の数字が100、ハッシュ化のアルゴリズムを「9で割った余り」とする
すると1がハッシュ化後の値になる
でも1という値からピンポイントで元の100は導き出せない
- 73 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:46:52.08 ID:5/0VUHOc0.net
- ジャップの頭の悪さはヤベェな
バカなんだから余計なこと考えないで外国で作ってくれたフレームワークそのまま使えよ
- 74 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:48:14.94 ID:3EVicLQL0.net
- ジャップ企業は平文で通信が好きだよな
だからソシャゲはそれでよく解析されてチートされてる
- 75 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:48:56.97 ID:Jy5XPg3t0.net
- >>62,64,68,72
なるほどレスありがとう
余りを活用するアルゴリズムってのはどっかで一度覚えた気がするけど忘れてるから勉強し直すわ
あと暗号技術入門って数学ガールの著者の本だっけ
確かちょっと右寄りな人だった記憶がある
- 76 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:49:04.28 ID:2oiro7bG0.net
- >>7
な、嫌儲ガイジだろ?
- 77 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:49:05.81 ID:U+TSHG/P0.net
- >>66
承認得ているのでw
これでおk
- 78 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:49:45.82 ID:ngqe58cf0.net
- てかメールでパスワード送らんでほしいわ
- 79 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:50:11.98 ID:U+TSHG/P0.net
- >>63
ハッシュ化する前に評価してるかもしれん
- 80 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:50:58.19 ID:2oiro7bG0.net
- >>78
電子メールでパスワードや二段階認証番号を送ってきたりするのはITとして2流以下の証
- 81 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:51:15.04 ID:K68bdIHM0.net
- 大手が未だにこんなクソ仕様w
- 82 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:51:16.90 ID:0kLsu/j10.net
- 自分、いいすか?
- 83 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:51:47.50 ID:b4jtSk+z0.net
- 通信事業者なんてセキスペ持ち何人もいるだろうに誰も指摘しないのか?
- 84 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:51:59.43 ID:rwQx/Gw+0.net
- >>7
バカバカしい話のように思えるが、パスワード再設定事務処理コスト>パスワード漏洩時の損害って考えてるんだろうな
でなければどのキャリアも平文保持してるわけないし
老人の介護費用のために、パスワード再設定などどうということのない世代が漏洩リスクに晒されている
シルバー民主主義社会だ
- 85 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:52:04.39 ID:U+TSHG/P0.net
- ハッシュ化してさ
外部システムにハッシュ値をkeyにして平分パスワード持たせたらセキュリティ担保できん?
これならパスワード通知もできる
- 86 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:52:30.32 ID:2oiro7bG0.net
- >>83
ジャップだから
- 87 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:52:49.46 ID:QfIl39zqM.net
- d払いと関連付けてる銀行口座は危ないか
クレジットならまだしも
- 88 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:53:06.36 ID:BFfrPTCF0.net
- 平文平文というがドコモもソフバンも暗号化はやってるだろう
ハッシュ化しろ馬鹿というご意見はごもっとも
ただ、
>>1の記事にあるLINEMOはSMS(暗号化されてない)でパスワード送っちゃってるからどうなのというのはある
(けどSMSって傍受できんの?)
- 89 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:53:12.33 ID:/9ElvBOjM.net
- 😱
- 90 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:53:32.55 ID:U+TSHG/P0.net
- >>83
指摘なんてしたら喧嘩売ってることになるのが日本企業
そして指摘した人間に押し付けるのも日本企業
- 91 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:53:52.31 ID:9Pub0xeB0.net
- これが日本のセキュリティ意識
- 92 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:55:12.33 ID:2oiro7bG0.net
- こういう部分でGoogleやマイクロソフトやAppleを丸パクリしないジャップって何なんだろうなw
- 93 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:55:19.04 ID:QfIl39zqM.net
- ノーガード戦法やな
- 94 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:55:42.13 ID:BFfrPTCF0.net
- >>85
DBが分散されているだけであんまり意味無いように感じるが
- 95 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:55:44.91 ID:CEKMZ/Jv0.net
- 旧facebookも平文で保存してたな
- 96 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:56:21.53 ID:6twRW0pH0.net
- >>63
IDをハッシュ化してみたらお前のパスワードから生成されたハッシュと同一だったとか、
脆弱なパスワードから生成されるハッシュのリストの中に、お前のハッシュと同一のものがあった可能性もある
- 97 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:56:24.73 ID:gny+qHCM0.net
- だって要求仕様はなにもないくせに、こちらからハッシュでやりますって提案しても
工数かかるなら却下っていうでしょ?
- 98 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:57:11.53 ID:BFfrPTCF0.net
- >>79
楽天証券のサイト見たらパスワード照会できるらしいから平文で持ってるな
https://www.rakuten-sec.co.jp/smartphone/support/procedures/idpwdial/
- 99 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:57:20.17 ID:K68bdIHM0.net
- >>88
SMSは暗号化されてない、SMSにアクセスできるアプリなんかに盗み見られる可能性はある
- 100 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:59:08.91 ID:ngqe58cf0.net
- >>98
どうでもいいけど
ID再通知/パスワード再設定って書いてあるから平文で持ってるのはIDだけだと思うよ
- 101 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 00:59:47.38 ID:BFfrPTCF0.net
- >>99
端末側のアプリから盗聴されるはあると思うけど、通信経路はどうなんだろと思って
- 102 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:00:30.62 ID:kMzbBnwB0.net
- >>98
それは照会ではないのでは
- 103 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:00:40.34 ID:BFfrPTCF0.net
- >>100
あ、ほんとだ
ありがとう
- 104 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:00:40.80 ID:Vh+i3AsW0.net
- うぇ?暗号化してないのか
ハッカー本気出したら盗みたい放題になるじゃないか
- 105 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:01:30.46 ID:E18JcGeN0.net
- SMSはインターネットではなく電話側の仕組みなので
傍受するとしたら国家の情報機関とかだよ
- 106 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:02:07.22 ID:rtB4AZ82a.net
- 平文で表示する機能がある=平文で保存も送信もしてる
なの?
- 107 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:02:41.37 ID:1XK4E7460.net
- Google、アップルも平文で持っているから
問題だと思うなら辞めさせる運動をすりゃいい
ジャップ企業に預けたく無いという気持ちは分かる
- 108 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:03:02.56 ID:62neN6Ni0.net
- >>88
SMS通信傍受という意味だとまず困難
ただ受け取った後はSMS閲覧の権限もらってるスマホアプリは見れてしまうので
よくわからん危険なアプリ入れてしまうとパスワード通知とかだだ漏れになる
- 109 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:03:15.20 ID:BFfrPTCF0.net
- >>107
これはあるよね
- 110 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:06:29.26 ID:bW+goU6G0.net
- https://pbs.twimg.com/media/EZD3CF_UEAAfMoS.jpg
- 111 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:06:49.28 ID:BFfrPTCF0.net
- >>106
保存や送信はたぶん暗号化してると思うよ
暗号化してない!って意味の平文じゃなくてハッシュ化してないというご指摘
ハッシュ化してたら流出してもパスワードはバレないけど、暗号化てるだけの場合復号されてしまったら平文に戻せてしまう
- 112 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:07:19.20 ID:E18JcGeN0.net
- >>110
jpg転載繰り返して劣化したら見えづらい
- 113 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:07:26.06 ID:GNCJUzkS0.net
- マジかよ、漏れたら一発やん
- 114 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:07:33.64 ID:BFfrPTCF0.net
- >>105
>>108
ありがとう
そうだよね
- 115 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:07:35.83 ID:SN9kWY060.net
- >>75
暗号に右寄り左寄りがあるのか…
- 116 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:07:37.71 ID:htLFrHfr0.net
- ハッシュ化してソルトしてたよ俺は
- 117 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:08:28.64 ID:GNCJUzkS0.net
- >>7
それでいいんだよバーカ
- 118 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:08:58.52 ID:zax/gYFn0.net
- これはあるあるなのか
うちも業界最大手だけど個人情報暗号化されてない
- 119 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:09:18.13 ID:9eARO8IA0.net
- >>111
これやろなあ
- 120 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:09:31.73 ID:bvVZZK2S0.net
- 平文保持罪早くしろよ
これだけ多くの事件が起こってるのに未だにやってるとか罪だよ罪
- 121 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:09:33.50 ID:K5x4zfnn0.net
- >>18
あのな、それは出来ないのが普通なの
出来ることが許されたのは20年前までなの
今では許されないの。おわかり?
- 122 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:10:14.59 ID:Mpb5uCr00.net
- >>106
サーバー側でハッシュ値しか持ってないなら元の平文に復元することはできないからね
- 123 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:10:45.05 ID:z/IgVH8fa.net
- >>99
>>108
ああなるほど…。例えばrakuten linkはこっちが何も許可しなくてもSMS読み取るしこの仕組み怖いな。SMS読み込みも許可制にすべきだ
- 124 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:10:54.44 ID:E18JcGeN0.net
- 実は平文保持じゃなくても
あるワードがある暗号に変換されることが確定してる仕組みだと
あまり意味がないです
- 125 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:11:00.87 ID:+HWD4tYM0.net
- ハッシュが漏洩しても巨大な全ハッシュテーブルと突き合わせれば元のパスワードを復元できるな
- 126 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:12:03.43 ID:xaqClb6u0.net
- >>75
あいつは野党を腐して悦にいってるネトウヨだけど技術とは関係が無い
技術も本も社会が生み出した者だからな
全ては合成物なので独占しようとしてる奴がいたら窃盗犯とみなしてよい
- 127 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:12:35.00 ID:K5x4zfnn0.net
- >>60
それが出来ないのがハッシュ関数。
何故出来ないかを簡単に言うと、ハッシュ値は元の値が持っていた情報を
部分的にしか保存せずに残りを捨てるから。
- 128 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:12:37.32 ID:MmFVB1vO0.net
- この国のIレベルで厳重に管理してるとか言われてもなあ
- 129 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:14:22.57 ID:K5x4zfnn0.net
- >>85
その外部システムから漏洩するから駄目
- 130 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:15:44.08 ID:xaqClb6u0.net
- >>7
事業者自身が分からなくなるするためにハッシュ化してるのに分かったらハッシュ化する意味無いだろ
真性のバカかこいつ
- 131 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:17:03.69 ID:XYgvCow+0.net
- >>7
アホか ハッシュ値をDBに保存してりゃ良いんだよ
忘れたら事業者が再設定用のパスワードを通知するだけ
- 132 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:17:47.26 ID:K5x4zfnn0.net
- >>124
その通り
だから単純にハッシュ化するだけでは駄目で、salt を付ける必要がある
- 133 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:18:00.29 ID:CL1kxpl0M.net
- 流出したら考えよう!
どこもこんな感じだよ
- 134 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:18:56.46 ID:G9FW6Aof0.net
- >>7
現実的じゃないって今のサービスのほとんどハッシュ値のみの保持だろ
非常識だからこういうニュースにもなるんだから…
- 135 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:19:01.06 ID:EF3qYdo10.net
- >>7
頭大丈夫か
何も知らないなら無理してレスしない方がいいぞ
- 136 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:19:10.03 ID:4ar3xQbn0.net
- 平文保持は禁止する法律つくるべき
得られるメリットに比べてデメリットが大きすぎる
- 137 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:19:22.54 ID:+HWD4tYM0.net
- ソルト漏洩したらパスワード復元できるじゃんwwwww
ダメダメwwww
- 138 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:20:18.11 ID:VI8XhUq40.net
- >>88
SMSなんてSIMカードぱくればいいし
標的型だったら身近にいる人からの攻撃なことが多いから一番突破されやすい
- 139 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:20:28.93 ID:074KotUp0.net
- 平文パスワードA→ハッシュ化→Å
Åをサーバーに保存
ÅからAへの変換は出来ません
なのでÅが漏れてもAが知られることはありません
ログイン時
平文パスワードA→ハッシュ化→Å
保存したÅと同じならAが入力されたことになりログインできる
- 140 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:22:13.27 ID:vHX3P+nq0.net
- ハッシュ化すると忘れた時に再設定しか方法がなくなる
まあそれでも良いんだろうけど
- 141 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:22:21.19 ID:+HWD4tYM0.net
- ハッシュ関数なんて数種類しかないんだから総当たりで元のパスワードが復元できるよwwwwww
意味なしwwwwww
- 142 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:22:29.03 ID:wxt+8Bbcd.net
- これ多分わかってやってるよ
ハッシュ化したらパスワードの再通知ってサービスができなくなる
じゃあ代わりにセキュリティが強固になるかといえば余所が平文で保存してるからそこから漏れたら意味がない
サービス毎にパスワード変えてるヤツの方が少数だから
そしてハッシュ化したらサービス低下して一人負けになるからどこもハッシュ化できない
- 143 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:25:11.44 ID:bvVZZK2S0.net
- >>141
お前総当りでハッシュ解析できるんだ
すごいね
暗号化資産で大金持ちになれるよ
- 144 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:27:05.03 ID:2oiro7bG0.net
- >>143
SHA-1あたりで止まってる人なんじゃね
- 145 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:27:21.25 ID:K5x4zfnn0.net
- >>137
君は salt の意味を理解していないな
salt は公開情報だ
機密とする文字列を Secret, ハッシュ関数を H, 文字列結合を || で表すとする。
このとき適当な文字列 Salt を生成し、次の値 Hash を計算する:
Hash := H(Salt || Secret)
これを保存する際には Salt と Hash のペアを保存する事になる。
salt の存在意義とは、同一の Secret が与えられても salt の取り方さえ毎回違っていれば
得られる Hash の値も毎回違ったものになる点にある。これはすなわち「同一の Secret が与えられた」
という情報を残さない事を意味する。これを保証するためには Salt は暗号論的に安全に生成され、
また Hash と同程度の長さを持つことが求められる。
- 146 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:28:50.93 ID:K5x4zfnn0.net
- >>125
そうなんだ
じゃあ例えば SHA-256 だと 2^256 通りの出力が有り得るわけだけど
そのテーブル作るの頑張ってね
ほれやってみろ
- 147 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:30:19.32 ID:K5x4zfnn0.net
- ちなみに 2^256 は
115792089237316195423570985008687907853269984665640564039457584007913129639936
- 148 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:31:11.17 ID:FalMJ+UO0.net
- ハッシュ化したら戻せないとか戻し方がわからないとか思ってそう
- 149 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:31:45.34 ID:0ZvKVHho0.net
- >>7
標準の機能すら理解してないガイジ
- 150 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:33:41.80 ID:+HWD4tYM0.net
- >>143
飛躍しすぎ
頭悪いねえ君は
>>145
はぁ?ソルトが公開情報?
アホもいい加減にしろ
>>146
アホか
パスワードの組み合わせにきまってんじゃん
まぁ俺様は支援士もネスペも持ってるけど基礎って大事だよね、痛感した
- 151 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:33:50.02 ID:8XapxMnFa.net
- UQモバイルでよかったと初めて思ったわ
- 152 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:34:34.04 ID:K5x4zfnn0.net
- >>144
SHA-1 ですら brute force は無理があるよ
MD5 くらいじゃね?それが現実的だったのは
実際ある程度の長さになったらもう brute force なんて考えるだけ無駄で
ダイジェスト関数のアルゴリズム自体への攻撃が主眼になるからなあ
SHA-512 が SHA-256 よりも有意に強いわけではないとされているのは
それが理由だし、SHA-3 が作られた理由も同じ
- 153 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:36:10.80 ID:CPo+nKwv0.net
- しょぼすぎるー
- 154 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:36:45.52 ID:BFfrPTCF0.net
- >>148
レインボー攻撃?
- 155 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:38:05.57 ID:K5x4zfnn0.net
- >>150
技術についての議論をしているつもりがあるのならば、
君も技術の言葉で議論をしなければならない。
そこには人格攻撃とマウンティングの出る幕はない。恥を知りなさい。
- 156 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:38:36.29 ID:VXnobN1O0.net
- これは安心してデータを預けられる
- 157 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:39:11.53 ID:BFfrPTCF0.net
- >>130-131
>>134-135
ここまで強い意味での常識になってると思わなかった(望ましいぐらいの考えだった)から、勉強になりました
- 158 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:42:27.05 ID:sKtHVh140.net
- >>85
ハッシュは衝突する
まぁパスワードならいって20文字とかだろうし
となるとSHA-256なら大丈夫だろうが
- 159 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:43:08.77 ID:YTn41pgQ0.net
- >>7
アホだろ…
- 160 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:44:32.83 ID:sKtHVh140.net
- >>134
ハッシュとソルトを格納するのがいまの標準じゃね
- 161 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:46:38.75 ID:G9FW6Aof0.net
- >>160
うん、もちろんソルトは使うものとは知ってました
略しちゃってすまん
- 162 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:48:59.34 ID:myEl7fXr0.net
- 日本のITは20世紀で止まってる
まだ21世紀始まってない😂
- 163 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:49:01.17 ID:S/WoMPcE0.net
- 平文なら安心だな
いざというとき印刷してすぐ使える
- 164 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:50:32.92 ID:LzA9qhg/0.net
- ファイル名:pasward_for_customer.txt
- 165 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:50:42.92 ID:59aY0qq10.net
- この前FAXでパスワード送ってもらったぞ
- 166 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:54:44.47 ID:K5x4zfnn0.net
- ただし、>>150 のこれ↓
> アホか
> パスワードの組み合わせにきまってんじゃん
これは実際に重要な点である。ハッシュ関数の構成とその使い方がどれだけセキュアであっても
その入力となるパスワードの持つエントロピーが不充分であれば、高い安全性は得られない。
ジャップランドには未だに「パスワードは10文字まで」みたいな信じられないシステムが蔓延っているが、
そんな制限を掛けることは即ち入力の取れる空間を無意味に狭め、結果として brute force の余地を産む。
十分に長いパスワード、最低でも 30 バイト程度のパスワードは受け付けなければならない。
- 167 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 01:59:32.13 ID:AVgiHwvm0.net
- ぷららのワード3つ組み合わせパスとかまだあるんかな
- 168 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:02:17.65 ID:v3TNp9dr0.net
- 会社の業務サイトのセッションがクッキーじゃなくてlocal strageに保存されてる脆弱性を俺はずっと無視している
- 169 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:03:40.69 ID:YyOmLRph0.net
- パスワードがわからないと自民党が国民を監視できないしな😑
- 170 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:09:48.86 ID:K5x4zfnn0.net
- >>168
それは脆弱性ではないよ
どのみち local storage は同一 origin でなければ読み出せないのだから問題ない
むしろ cross site cookie の事と、対象ドメインへの通信ならば無条件に毎回送信されるクッキーの性質を考えれば
そちらの方が遥かに危なっかしい。実際 CSRF はクッキーの持つその性質が原因で起こる
- 171 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:16:47.59 ID:v3TNp9dr0.net
- >>170
いやxssの脆弱性がゼロとは言いきれん
- 172 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:17:28.48 ID:j+gQWU770.net
- 国民が暗号に詳しくなると警察が困ってしまいます
- 173 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:21:42.17 ID:lRmQfR4I0.net
- >>7
やば
よくその後もレスできるな……
- 174 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:28:14.11 ID:nlmetVnc0.net
- ソルトとかもやってないて
ノーガード戦法最強やな
- 175 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:32:22.58 ID:v3TNp9dr0.net
- 次はハッシュしたけど全部値使いまわしてますの予感
- 176 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:32:25.37 ID:wMDAucRT0.net
- 古の認証プロトコルの都合かな
- 177 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:33:52.28 ID:4R9zNQfl0.net
- 厳重に保管してあるのでヨシッ
他社も平文で保管してるようなのでヨシッ
- 178 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:35:07.17 ID:wMtynNSc0.net
- ドコモに関してなら知ってたわ
- 179 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:37:33.86 ID:BNNFoZHx0.net
- 高校の時の副担任が平文紀とかいう名前だったの思い出したわ
- 180 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:39:50.07 ID:V5Iax4XF0.net
- 以前やらかしたけど、あれもう風化しちゃってるね
- 181 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:47:02.84 ID:2I4CMGkI0.net
- >>33
パスワード通知はセキュリティリスクが高いからやらないのが現代の常識
まともなところなら再設定しかやってない
- 182 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 02:47:42.22 ID:HvHhwFnm0.net
- ID:BFfrPTCF0
このおじかわいい
しっかりアプデできる良いおじ
- 183 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:00:10.77 ID:K5x4zfnn0.net
- >>171
XSS の成立する状況下においては local storage の内容も cookie の内容も
どちらも同様に読み出す事ができるのだから、それでも cookie の方が安全とはならないよ
- 184 :!slip :2022/03/16(水) 03:00:38.98 ID:WbzK9ZGIH.net
- 終わりだよ
- 185 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:05:42.37 ID:hAsKSYnF0.net
- は?
- 186 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:10:58.16 ID:5UO/HUWt0.net
- 忘れたらパスワード再設定させるだけだろ
サーバー側に復元可能なパスワード置くリスク考えられないとか何十年も遅れてるわ
- 187 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:14:33.51 ID:F49e4VfVa.net
- 危なっかしすぎて平文パスワードなんて普通おきたくないだろ
- 188 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:15:37.97 ID:Bj7pBsIq0.net
- ひらふみってなに?
- 189 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:21:27.13 ID:5UO/HUWt0.net
- >>188
password1234って文字列そのままのこと
ちなみに多分平文じゃなくて暗号化されてるけど、暗号を解いて元のpassword1234を取り出せる状態
本当は一方通行の暗号化しなきゃいけない
- 190 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:28:53.21 ID:PvK3ZIE40.net
- タックスヘイブンならぬパスワードヘイブンってやつか
- 191 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:30:48.11 ID:09tsKnC50.net
- >>71
お前控えめに言ってキチガイじゃね?
iCloudキーチェーンがまるでE2Eじゃないかのように言ってるが明確にE2Eと記載されてるよ
アメリカでもそう
- 192 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:33:08.80 ID:09tsKnC50.net
- >>88
これもそう
そもそもfsが暗号化されてないサーバーとか今時ほぼない
クラウドインスタンスとかOS含めてデータ全部暗号化されてる
- 193 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:38:19.38 ID:09tsKnC50.net
- >>150
うへーきっつい
レインボーテーブルって単語も出せない奴がネスペ取れて支援士登録できんのかよ
支援士登録しなくてよかったわ本当
こんなんと同類になってたなんて最悪
- 194 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 03:51:55.28 ID:R4wG1F050.net
- 上層部がジジイだとそういう設計求めてくることはある
- 195 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:00:34.43 ID:ekGRNCjw0.net
- なんか適当なサービス作って生パスワード保存してれば、データベース見にいって悪用し放題だよな
- 196 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:01:02.72 ID:a02uunFR0.net
- 総てのパスワードを0721で統一してる俺に隙はなかった
- 197 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:06:18.97 ID:9ORAPJGW0.net
- 再設定になるのは忘れるリスクがあるから
表示のほうがいいんだけどな
- 198 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:07:39.88 ID:LCJpydLX0.net
- ショップで店員がパスワードわからないと仕事にならないもんな
ジジババにパスワード入れさせてたら閉店時間になっちゃう
- 199 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:12:59.54 ID:KlEzQMsx0.net
- タックスヘイブンってやつか
- 200 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:23:22.47 ID:Oh7ECb9sM.net
- パスワードに記号が使えないサイトは高確率でそういうことよ
- 201 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:26:38.21 ID:7NcIkqQOM.net
- dアニメ入ってる奴憤死wwwwwww
- 202 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:30:27.90 ID:F49e4VfVa.net
- >>197
忘れるたびに再発行でいいじゃん
常識的なところや教本解説本は全部そうでしょ
- 203 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:31:32.61 ID:38rI8/cS0.net
- >>27
日本国の基本方針だぞ
- 204 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 04:38:09.84 ID:stAFkNsI0.net
- >>107
グーグルも平文でパスワード持ってるの?
グーグルのパスワード復元機能で、パスワード正確に入力しなくても近い内容なら復元できるけど、平文で持ってるからかな?
- 205 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 05:05:38.35 ID:r0GQvXTzM.net
- ドコモは特に老人多いからパスワードわからん問い合わせ多いんだろ。近所のauは空いてるがdocomoはいつも満車だわ。
- 206 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 05:13:54.12 ID:ZPPLc0X1a.net
- パスワード文字数制限あったりとわーくには何気にセキュリティ甘々だよな
- 207 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 05:17:43.27 ID:O71gyl9ed.net
- docomoは昔電話での本人確認でネットワーク暗証番号を口頭で言わせてた
頭沸いてるだろ
- 208 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 05:48:09.53 ID:GFg50YKk0.net
- そのくせ何度も認証済させるだろw
頭痛おかしいぐらいに
- 209 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 06:08:40.69 ID:0UaIYeih0.net
- まったく使ってないPlayStationからパスワード変更のお知らせとかきたんだが
- 210 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 06:16:09.78 ID:RIZAmzsp0.net
- ハッシュ化するのではなく、公開鍵や共通鍵で暗号化して復号できるようにするのはダメなの?
- 211 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 06:41:20.19 ID:LI7Is4o70.net
- >>210
ユーザー側が復号鍵を見失わない前提ならパスワードも忘れないで欲しいところ
サーバー側に復号鍵があるなら平文保存と一緒じゃね
- 212 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 06:54:40.84 ID:NDuCmT640.net
- パスワードって
ハンコに例えると平文が印章でハッシュが印影でしょ
https://www.hankoya.com/untiku/images/index/img_natsuin.jpg
パスワードの平文保管って
銀行口座を作るたびに、銀行が預金者の印章を複製するくらいバカげている話
古式ゆかしいハンコ文化にも遠く及ばないリテラシーの無さなんだよな
- 213 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 06:56:55.80 ID:cRHcBHpx0.net
- ドコモはパスワードが3種類くらいあってわけわからん
- 214 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 07:27:38.92 ID:0bNrrQaR0.net
- 怖すぎ鳥肌立ったわ
- 215 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 07:55:43.00 ID:zuBx8+iE0.net
- >>27
ちょっとのリスクより
老人対応人件費のほうが高くつく
- 216 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 07:57:51.77 ID:zuBx8+iE0.net
- ゆうちょもなんか忘れたときに郵送されると思ったが
勝手に再発行したパスワードかな
- 217 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 07:58:53.41 ID:nltqJNmw0.net
- 携帯電話事業者なんかSMS認証でええんちゃうの?
パスワードなんか必要か?
- 218 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:00:33.67 ID:zuBx8+iE0.net
- 再発行するパスワードは前回のパスワードは使えません。一度変えたら、前回のパスワードにも変更できます←面倒だけどヨシ!
ログインできなくなったら、以前のIDは二度と使えません!←めちゃウザい!
- 219 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:02:46.98 ID:zuBx8+iE0.net
- >>34
一般小説に昇華を成し遂げた作家に対する誹謗中傷ネット工作が、
それでバレた作者の作品が
再アニメ化するなー
- 220 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:03:10.44 ID:NfllzGVA0.net
- 契約回線とそれに紐づく4桁の暗証番号でとかで見られた気がする
一応物理的なsim カードとの2段階だけどDB直接狙われたら意味ないわな
せめて本当に平文じゃなくて猛烈に長いパスワードで暗号化ぐらいはしてるかと思ってた
- 221 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:03:46.10 ID:sKtHVh140.net
- >>217
あいつらは契約者以外にも手を出しているからな
iDとかdポイントなんかはドコモの携帯持ってなくても使える
- 222 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:05:00.51 ID:qbRWwNe+H.net
- 平文で保持ではなくて
ハッシュで持ってないってことでしょ
暗号化はしてるけと復号化できるとかそういうやつ
- 223 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:05:50.26 ID:jhnMLy+ad.net
- >>217
だいぶ前に携帯電話複数持つのが当たり前な上に契約してない人も取り込みたいからメールアドレスベースのシステムに変えた
- 224 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:06:13.23 ID:GdkU1Eho0.net
- すげえなこのスレ
ジャップがいかにIT無理だかがわかる
頭悪すぎだろ
- 225 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:07:59.46 ID:0n1o6n1DM.net
- これ携帯回線だけの話ってわけないよなあ
- 226 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:08:12.91 ID:zuBx8+iE0.net
- >>98
楽天証券ってなんでIDは楽天指定のだけなんや
面倒くさいわ
- 227 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:29:38.06 ID:gwkMWvdB0.net
- >>7
おまえ銀行の暗証番号を行員がノートに書き連ねてたら不安にならんのか?
- 228 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:32:12.00 ID:Kt3/1X6M0.net
- 運用の現場を無視して議論してないか
老人に自分一人でパスワード管理させるのは無理だぞ
- 229 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 08:34:19.94 ID:bpPNTVmO0.net
- まさかとは思うが、
いまだに LINE 使っているヤツなんて、いないよなっ
これからは、Signal、+メッセージで携帯番号開示、
安全コミュニケーションが主流だよなっ
なっ!
- 230 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:09:31.78 ID:GIzMij6Y0.net
- もうパスワードなんて無くせよ、生体認証だけやってろ
- 231 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:14:19.49 ID:SW7TGJVS0.net
- 安倍晋三
- 232 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:16:38.78 ID:6hXU1Q7S0.net
- コレは安心大勝利
- 233 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:25:19.14 ID:8fL1lS9Xa.net
- >>127
じゃあハッシュ値になんの意味があるの?
ユーザーのパスワードが合ってるかどうかだけはハッシュ値で証明できるということ?
- 234 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:27:08.76 ID:RTg5XT1A0.net
- >>233
一方向暗号だから、
【同じパスワード】からは必ず【同じハッシュ値】を導出できるが、
【ハッシュ値】から【一意のパスワード】は絶対に導出できないようになってる
- 235 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:29:26.53 ID:cxNvjQxc0.net
- 頭おかしいわ
- 236 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:32:33.34 ID:8fL1lS9Xa.net
- ブラウザのパスワード管理機能は問題ないの?
あれって暗号化してクラウドに保存してるんでしょ?
- 237 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:33:12.86 ID:LbtiAyNn0.net
- 生体認証と2段階認証あるからパスワードいらんだろ
- 238 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:50:55.33 ID:SmpeMCV90.net
- >>7
>>18
嫌儲一のガイジ
- 239 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:54:53.59 ID:BobJyqUpF.net
- 平文保存ってのも曖昧な表現だよな
可逆暗号化でも平文扱いだし
- 240 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 09:56:09.62 ID:BobJyqUpF.net
- >>7
最近のシステムはパスワード忘失時はメアド認証して上書きじゃね
元のパスワードを教える必要はない
- 241 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:05:04.92 ID:jWiTvPcb0.net
- 某声優のファンサイトからデータ抜かれて声優板にばらまかれていたけど
IDとパスワードが分かりやすいように平文で書いてあったわw
- 242 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:08:36.78 ID:SHAQQkUj0.net
- 平文保管ならパスワード漏れた時に過失認定されても仕方がないな
- 243 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:09:50.49 ID:QaGxqtIe0.net
- >>226
そのほうがセキュリティ高いからじゃない?
idとパス使い回すバカ対策
- 244 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:15:47.60 ID:iZ+x7Y7R0.net
- >>92
数兆円規模で投資がいるからなw
日本人経営者は客のリスク回避のためにそんなお金出さない
この世で一番モラルがないのが
経営者にのしあがった日本人
二番目は世襲日本人政治家
若いときからそう考えてきたがこの三十年で立証された
- 245 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:27:38.30 ID:F49e4VfVa.net
- >>244
ハッシュ関数+ソルトで導出されたものとソルトを保管するだけだろ
- 246 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:30:38.40 ID:F49e4VfVa.net
- >>61
クレジットカード、キャッシュカード、マイナンバーカードの短いPINはそれだけじゃとても総当たり攻撃に耐えられないのでn回間違えたら自爆して使えなくなることで安全性を確保してる
だから仕方ない
それとこれとは似ていても全くの別問題
- 247 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:34:47.94 ID:tD5OltIf0.net
- クレカのセキュリティってどうなんだろ
購入履歴から個人特定される可能性とかあるん?(´・ω・`)
- 248 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 10:36:13.64 ID:/5rGAubc0.net
- 平均年齢が高い国だからこんなもんでいいんでね?
- 249 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 11:02:59.27 ID:Kt3/1X6M0.net
- これ変更したら老人客のパスワードはドコモショップの店員が紙に書いてショップで保管することになるぞ
- 250 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 11:08:26.08 ID:nltqJNmw0.net
- >>249
そっちのほうがセキュリティ高いやろ
- 251 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 12:16:40.97 ID:r9XYTjhPM.net
- テプラで部屋に貼ってる俺大勝利
- 252 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 12:17:04.65 ID:r9XYTjhPM.net
- >>250
ハッキングできねーもんな
- 253 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 12:17:59.20 ID:r9XYTjhPM.net
- もう全部2段認証にしろよアホ
- 254 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 12:46:14.29 ID:He4zw6K70.net
- うちは暗号化してるわ
パスワードが横に置いてあるけど
- 255 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 12:50:26.82 ID:z6H3FG9oM.net
- >>75
勉強するならLinuxのCLI上でガンガン実習した方が早い
ソルトとストレッチングも含めて実習
- 256 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 15:05:10.69 ID:JrYs2AjK0.net
- さぁサイバーテロの始まりです
- 257 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 15:18:02.91 ID:duVM18d9a.net
- >>233
正しいパスワード以外の文字列からも同一のハッシュが生成されることはあるが、狙ってそのような文字列を生成することは非現実的
- 258 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 15:22:41.63 ID:HK0kGe0/a.net
- なのでハッシュの一致=パスワードの一致とみなすことができる
- 259 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 15:43:59.01 ID:cGi2g0am0.net
- ハッシュの安全性に全単射じゃないことが上げることがあるけど
実際の使われ方ではその性質はむしろリスクだよな
固定長にしてくれるのは便利というか場合によっては必須だけど
もし桁数を維持する一方向全単射関数があれば
パスワードハッシュとかはそれが使われるんじゃないか?(適切にパティングするとして)
- 260 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 16:21:52.20 ID:PyaE5qIhd.net
- >>259
桁数維持って何に使うんだ?
桁数は暗号強度に直結するから短くするのは無理だぞ
- 261 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 16:32:59.74 ID:VNszVILf0.net
- パス忘れるユーザーがあまりに多いからこう言う仕様になったんやろ
通常は不可逆で暗号化して保存じゃね
- 262 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 17:01:08.69 ID:E18JcGeN0.net
- >>261
再設定案内すればいいだけではある
- 263 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 17:14:09.08 ID:K5x4zfnn0.net
- >>259
極めて限定的な状況にのみに使える perfect hashing という手法はある
詳しくは自分でぐぐって欲しいが、それをパスワード認証に用いることは
まったく現実的でない
- 264 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 17:19:27.93 ID:K5x4zfnn0.net
- あとハッシュ関数の安全性はそれが全単射でない事に依っているわけではなくて、
単に逆写像を具体的に構成できないばかりでなく、それを部分的にすら達成できない事に依っている。
それはどういう事かというと、ある秘密の文字列からハッシュ値を求めた時、
そのハッシュ値から以下のような情報を部分的に得る事すらできない事が、ハッシュ関数の安全性の根拠となる:
・元の文字列の長さ
・元の文字列の先頭や末尾の n 文字
・元の文字列に含まれている文字の種類の分布
・その他、元の文字列についての一切の情報
- 265 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 17:21:39.91 ID:Jw5tCO7x0.net
- やっぱりパスワードは誕生日にしないと
- 266 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 17:24:02.13 ID:bLESCzpB0.net
- 見直しの検討を図ろうとしているところである
- 267 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 17:26:37.91 ID:cS7k0kKFr.net
- Webアプリ初心者でもさすがにハッシュ化するぞ
- 268 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 17:27:26.66 ID:szbZwBQj0.net
- 談合3兄弟かよ
- 269 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 18:42:08.33 ID:Q6Ufp2mKa.net
- 普通ソルト付きのハッシュだろ
- 270 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 19:35:10.92 ID:cGi2g0am0.net
- >>260
(それより短い入力を)512bitにパディングすれば
理論上は512bitハッシュとほとんど同じだと思うけど何か間違えてるか?
>>263
それは単にマッピングによる実装だからじゃないか?
英語のページしか出てこないから俺が勘違いしてるのかもしれんが
まあレスに何か例え話を添えたくて言っただけで
マッピングとは限らない全単射のハッシュライクなんて
「数学的でかつ数学的危険性の無い」みたいな注文で
今考えればナンセンスだなとは思う
- 271 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 19:38:02.31 ID:Q8715sFC0.net
- 平文で保持しているってのが解ってる時点でもう流出してるんとちゃうん?
- 272 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 19:48:23.15 ID:Kt3/1X6M0.net
- >>271
流出してるわけじゃない
パスワードを平文で持ってないと提供できない機能が提供されてるってこと
- 273 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 19:51:02.69 ID:9ZQHYf3ZM.net
- ハッシュ、ハッシュうるせえスレだな
ツイッター用語ののパクリか??
- 274 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 20:50:17.92 ID:K5x4zfnn0.net
- >>270
全単射なハッシュ関数というものは、確かに作れるし、それを使って
安全なパスワード認証スキームを構成する事は問題なく可能。
しかしながら、そのような関数を構成するには、可能な入力全体の
空間と同じだけの保存領域が最低限必要になる。
たとえば入力され得るパスワードが全部で 2^256 通りだとするなら
ハッシュ関数自体の取るスペースが 2^256 ビット以上になってしまう。
そんな宇宙的規模のハッシュ関数はもちろん何処にも保存できないし、じゃあ入力の種類を
減らそうとなったら、今度はパスワードの全探索が可能になってしまう。
だから perfect hash function はここでは使えないのだ。
- 275 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 20:52:15.94 ID:V/3ARRq+0.net
- 厳重(精神論)
- 276 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/16(水) 23:59:58.55 ID:sKtHVh140.net
- ソルトとハッシュとストレッチング
一番重要なのは、ストレッチングかねえ
ストレッチング…漏洩しないに越したことは無いが、100万回とかなってたらやる気を失せさせる効果がある
ソルト…漏洩しないに越したことは無いが、漏洩してもストレッチングが100万回とかなってたら問題ない
ハッシュ…漏洩しないに越したことは無いが、漏洩してもストレッチングが100万回とかなってたら問題ない
- 277 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/17(木) 02:10:05.95 ID:L+lz9bMY0.net
- >>276
そうは思わん
ストレッチングは確かに弱いパスワードを brute force から守るという意味では効果的だが
その為に正規のユーザーの認証を通す時にまでコストを払わなきゃならないので筋が悪い
仮にハッシュ一回の計算に 1 ms 掛かるとして、ストレッチングによりそれを 1000 ms に伸ばしたとすると
brute force に要するコストは 1000 倍だ。その一方で、ストレッチングをせずにパスワードのエントロピー
を 28 ビットから 44 ビットに増やしたとすると、コストの増加は 2^(44-28) = 65536 倍でありながら
一回の計算量は同等だ。このようにエントロピーの増加は指数的に効いて来るわけだから、
できるならばストレッチングなどせずに強いパスワードを使用する方が圧倒的にコスパが良い。
ちなみにこの 28 ビットと 44 ビットという数字は、かの有名な xkcd の Correct Horse Battery Staple
が元ネタで、実情に沿った数字と言える。
- 278 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/17(木) 03:38:24.27 ID:LTAunClJa.net
- >>276
ストレッチングなんて小手先でどうにかするよりも先にソルトを使うとかMD5みたいな脆弱なものは使わないとか基本的な事項が大切
むしろそれができていれば大事故はまず起きない
AdobeとかLinkedInとかの大規模流出したところってハッシュ関数使ってなかったとかソルと使ってなかったとかそもそも論だったからね
- 279 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/17(木) 07:42:05.35 ID:UYbBWJZXa.net
- >>7
こんな池沼丸出しのこと書いたあと18レスもできる神経の太さが凄い
まともなやつならID変えるだろ
まあまともな知能じゃないからこんな馬鹿なこと書くんだろうが
総レス数 279
70 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200