アカウント名:
パスワード:
ここ最近だと、類似なのはこれぐらい?
・楽天・niconico・mixi・softbank・sony・panasonic・JCB・LINE - New
正直、この中に実際に漏らしたのがいるんじゃないかって気が...
パスワードがそのまま漏れてるということは平文でパスワードを保存してるってこと?
独自の暗号化ロジックで変換したパスワードでもなければ、 ハッシュ値を一致させるだけですむよ。 同じパスワードを入力する必要はない。パスワードのハッシュ値を保存して原型を保たなければ安全なんていうのは、 都市伝説。
あんな物ハッシュ値のデータベースを作ってしまえば、あとは検索するだけでハッシュ値から必要なパスワードを取得することは出来る。まぁ、手間はかかるけどね。MD5とSHA256あたりで作っておけばわりと逆算出来るんじゃないかなと。
パスワードは、 複雑さよりも長さが大事といわれるのは、 こういうこと。
#2621190氏はちょっとかじった知識を披露したいだけだから、そういうツッコミはかわいそうだ・・・
実際、生パスワードで保存してるバカもいるし、ソルトなしでさらに1回のハッシュで安心してる残念なトコもいるだろう。
# ソルト付きでストレッチングもしっかりやろうぜ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
どこが漏らしたんだろう? (スコア:2, すばらしい洞察)
ここ最近だと、類似なのはこれぐらい?
・楽天
・niconico
・mixi
・softbank
・sony
・panasonic
・JCB
・LINE - New
正直、この中に実際に漏らしたのがいるんじゃないかって気が...
Re: (スコア:0)
パスワードがそのまま漏れてるということは平文でパスワードを保存してるってこと?
Re: (スコア:0)
独自の暗号化ロジックで変換したパスワードでもなければ、 ハッシュ値を一致させるだけですむよ。 同じパスワードを入力する必要はない。
パスワードのハッシュ値を保存して原型を保たなければ安全なんていうのは、 都市伝説。
あんな物ハッシュ値のデータベースを作ってしまえば、あとは検索するだけでハッシュ値から必要なパスワードを取得することは出来る。
まぁ、手間はかかるけどね。
MD5とSHA256あたりで作っておけばわりと逆算出来るんじゃないかなと。
パスワードは、 複雑さよりも長さが大事といわれるのは、 こういうこと。
Re:どこが漏らしたんだろう? (スコア:0)
Re: (スコア:0)
#2621190氏はちょっとかじった知識を披露したいだけだから、そういうツッコミはかわいそうだ・・・
実際、生パスワードで保存してるバカもいるし、ソルトなしでさらに1回のハッシュで安心してる残念なトコもいるだろう。
# ソルト付きでストレッチングもしっかりやろうぜ