アカウント名:
パスワード:
> 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。
どうやったら、他社から漏れたって分かるんだろう。
恐らく、ソルトつきのパスワードのソルト部分が違うパスワードでログインを試すケースが異常に増加してるのかも。
ソルトの意味が単一でない事をしらないのでしょうか?ユーザーが複数のサービスを利用するときにパスワードを「特定の文字列」+αで同一パスワードを避ける手法も「ソルト」っていうんですよ。#2621126はそちらの意味のソルトなので、別に勘違いでも間違いでもありません。
全然別のACですが、「ソルト」のそういう使い方は初めて聞いたし、非常に誤解を与えやすいだけでなく、既存の文脈のソルトの意味をも曖昧にするので、使うべきでないとすら思う。
加えて、(ベース)+(追加文字列)のようなパスワードが緊急避難的に用いられるのは仕方ないとは思うけれど完全ランダムなパスワードに比べて確実に脆弱(察するに追加部分は意味のある文字列になるのだろう)で、そのようなパスワード管理法を良い方法として一般化するべきではないという意味でも、セキュリティ上有効な「ソルト」という単語をその方法に当てるのは嫌な印象を受ける。
パスワードを使い回すことが悪いのは、パスワードが平文で管理され(そして漏洩する)るケース以外にも、サービスのスタッフが悪意からパスワードを覗き見るケースを考慮していないというのがある。閲覧者に明快なヒントを与えるようなパスワードで安心感を持つのは、ある意味では単純な使い回しより危険な行為だと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
うちが悪いんじゃない、他社のせいだ (スコア:1)
> 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。
どうやったら、他社から漏れたって分かるんだろう。
Re: (スコア:0)
恐らく、ソルトつきのパスワードのソルト部分が違うパスワードでログインを試すケースが異常に増加してるのかも。
Re: (スコア:0)
Re: (スコア:-1)
ソルトの意味が単一でない事をしらないのでしょうか?
ユーザーが複数のサービスを利用するときに
パスワードを「特定の文字列」+αで同一パスワードを避ける手法も「ソルト」っていうんですよ。
#2621126はそちらの意味のソルトなので、別に勘違いでも間違いでもありません。
Re:うちが悪いんじゃない、他社のせいだ (スコア:0)
全然別のACですが、「ソルト」のそういう使い方は初めて聞いたし、
非常に誤解を与えやすいだけでなく、既存の文脈のソルトの意味をも曖昧にするので、使うべきでないとすら思う。
加えて、(ベース)+(追加文字列)のようなパスワードが緊急避難的に用いられるのは仕方ないとは思うけれど
完全ランダムなパスワードに比べて確実に脆弱(察するに追加部分は意味のある文字列になるのだろう)で、
そのようなパスワード管理法を良い方法として一般化するべきではないという意味でも、
セキュリティ上有効な「ソルト」という単語をその方法に当てるのは嫌な印象を受ける。
パスワードを使い回すことが悪いのは、パスワードが平文で管理され(そして漏洩する)るケース以外にも、
サービスのスタッフが悪意からパスワードを覗き見るケースを考慮していないというのがある。
閲覧者に明快なヒントを与えるようなパスワードで安心感を持つのは、ある意味では単純な使い回しより危険な行為だと思う。