「ストレッチング」を含む日記 RSS

はてなキーワード: ストレッチングとは

2023-04-01

パスワードを換字式暗号DBに保存してるシステム

大手Sierグループ会社客先常駐しているのだけれど、ヤバいシステムにあったってしまった。

口座数が全社合わせたら数十万のリテール向けシステムなんだけど、パスワードを換字式暗号DBに保存されてるのね、ソルトストレッチング無しとかじゃなくてハッシュ化すらされてない。

他にも本番ほぼ root/administrator作業パスワードも同じの使いまわし、セキュリティ区画の入室も共連れ当たり前でびっくりした。

結構こんな感じのシステムって多いのかな?

2022-03-16

anond:20220316140745

あーーーほ

そもそも何でハッシュ化が必要なのかわかってないんだろうな。

暗号化しても平分で持ってても、ようはDBアクセスされてる時点でハッキングされてるわけ。

そんなとき暗号化しておくともしかしたらパスワード悪用される前に時間稼ぎができるかもしれん。

でもハッシュならもっと時間稼ぎができる。

そして強力なハッシュ+ソルト+ストレッチングするっていう、「現代デファクトスタンダード」な運用なら一番その時間稼ぎができるわけ。

そもそもDBが完全無欠に守れる自身があるなら平分で保存でもいいわけなんだけど、んなわけねーだろ。万が一流出したときダメージコントロールのためにハッシュカルル訳?ソコンところ理解できてないから、

安全化どうか?みたいなアホな観点しかものを語れないわけよ。アホたれ

からパスワードハッシュおもらししたら、直ちにおもらししたことを報告して、その間にハッシュパスワード解読時間を稼いでる間に、おもらしされたユーザーは万が一他のサービスで同じパスワード使ってるとかいうアホなことしてたら、対応するわけよ。わかる?

まあでも、そもそも他のサービスでもパスワード流用してるタイプのアホは、そんな事しねーよみたいな気持ちもあるな。

そしたらそもそも、平文でほぞんしててもいいような気がしてきたけど、ハッシュ管理してて、アカウントの数が何千万とかあればだよ。

自分アカウントパスワードの解読まで一生かかっても作業が回ってこない可能性もあるので、事実上安全っちゃ安全かもしれない。

でもハッキング対象アカウントが決め打ちでキメられてるなら、スパコンとか使って意地でも特定アカウントパスワードを割り出すみたいな作業可能かもれない。

からってそれは、平文で保存したり、暗号化していい理由には並んと思ってて、

完全に安全パスワード管理することは無理だけど、限りなく安全に近い形で取り扱うことのできるハッシュ化(当たり前だけどそこには強力であること+個別のソルと使うこと+ストレッチングが含まれる)をするのは当然であって、

やっぱりハッシュ化しないって選択肢自体そもそもないので、

ハッシュ安全かどうかとか言ってる時点で、そもそもの何が問題で、なぜハッシュが良いとされているのか、なぜハッシュデファクトで使われているのかってのをまるで理解してないと思う

そうやって表面だけの技術情報をなぞっただけでわかったような気持ち文章書いてる時点で、自分知識に対する過剰な自信と、慢心が溢れ出してて嫌いです

パスワード平文提示のやつ何でダメか教えてほしい

https://www.itmedia.co.jp/news/articles/2203/15/news172.html

ドコモソフトバンクパスワード平文提示問題話題になっていたが、その中のコメント理解できていないのがで教えてほしい。

パスワード暗号化して保持していても、復号できるなら平文保持と同じ」旨のコメントがいくつかあったのだが、これはどういった理由なのだろうか?

暗号化パスワード流出しても、十分な強度を持った暗号化方式を利用している限り、鍵が分からなければ復号できないはずだ(方式によってはIVも)

この鍵が容易に解析できるといっているのだろうか?

それだとPKIの仕組み自体崩壊するので違うような気がする

それとも、サーバで保持しているであろう鍵も盗めるからダメと言っているのだろうか?

そうであればそれは鍵の管理方法次第で、プログラム内に保持しているもしくはユーザ情報(ネットワーク認証コード等)をもとに毎回生成している等であれば問題ないはずだ。

メモリ上の鍵や生成方法も盗まれからダメという話であれば、それはハッシュ化したところで同じ問題が発生するはずだ。

ハッシュ化されたパスワードでも、ソルトストレッチング回数を盗みさえすればある程度時間をかければデハッシュできてしまう。

なんでなんだ・・・教えてエライ

anond:20220316140745

blueboy先生の弁明。

からソルトをつけるんだよ。

ほんとにド素人だったんだな…。

ソルトペッパーストレッチングについても調べるといいよ。

2015-07-23

超克的な挑戦が始まった

 28歳、元童貞2015年、夏。

 俺は膣内射精障害、いわゆる無漏症だった。それは、くしくも童貞卒業した瞬間に約束されたものだったと思う。ヌルッ、あれ? あんまし気持ちいくない・・・いや、動かせば違う筈だ。ズコッズコッ、あれ? これだけなのか? そんな・・・何かの間違いだろう・・・こんなバカなことが・・・いや、まだだっ。まだ終わらんよっ・・・ズコズコズコ・・・あ、足疲れた・・・ズコッ・・・イ、イケない。そして、その日、俺が射精することはなかった。いや、正直に話そう。今に至るまで、イケたことはない。

 彼女には機会があれば挿入してきた。全部で5回くらいだろうか。彼女には膣内射精障害についてインフォームドコンセントをしておいた。そのため、瑣末なすれちがいなどは起こりようがなかった。このチンポはニセモノじゃないし、君に責任はない(処女であった彼女自分が変なのかしら、とよく言うのだ)。俺のおチンチン様もお元気であるからして、すべての原因は今までに繰り返されてきた間違ったオナニーなのだ、と俺は言った。床オナのジェスチャーやAVを実際に見せながら、丁寧に。経緯を知った彼女が「ばかぁー!」というのは可愛らしかったが、イケないという現実に変わりはかった。

 実を言えば、予感はあった。膣内射精障害について、その存在を知った時から、ずっと。俺は幼少~少年時代は足ピンの床オナマスター。家族が集っている居間こたつの中でも事を成すほどの常習犯であった。そう、まるで近親相姦エロマンガのように日常的に床オナしていた。その後、高校生になると、きちんと棒をこすったオナニーをやるようになったが、大学に入って独居で自由ネットできるようになると、AV&エロマンガ漬けのオナニィをやり始めたのだった。加えて、その握力とピストンスピードは徐々に加速していったようである。かくして、不漏の申し子は生まれ落ちた。

 もしも、膣内射精童貞卒業帰結となるならば、私は未だに童貞である。そう。このままであれば、生涯童貞。その言葉が、頭の中で閃く。それゆえ、自覚する前から俺は決意していたのだと思う。挑戦しなければならない。どれだけ圧倒的な不利、極悪な難易度のオナニィ矯正であろうと、やりとげる。彼女の中に射精するため、それだけのために。

 膣内射精障害について検索した結果、現れた電子の糸をたよりに俺は旅をした。アノニマスな人々の体験談や怪しい広告サイト無料相談室やクリニックの解説、まとめアフィ、無人の廃墟たる掲示板はてなダイアリーなどなど、多くのものを俺は見ることになった。生涯童貞を誓う連中は笑い、童貞中退になりそうな宙ぶらりんの俺の仲間達は皆、苦しんでいた。あるいは、克服した先輩も含まれていた。諦めていると書いている奥さんのブログがあった。そこには多くの人の人生が詰まっていた。俺は多くのものを見た。その間、季節が移り変わったような気さえしたが、30分が過ぎただけだった。もしくは、俺は異なる位相に入り、何かを持ち帰れたのだろうか。受け取ったのだろうか。いや、まだ、それはわからない。重要なことは、俺がこれからやることなのだ。

 膣内射精障害矯正方法は、現実との隔たりを如何に無くすか、ということに尽きるようだった。すなわち、

 何も見ず、イメージによってのみ、抜く。

 ゆるめのオナホで優しくゆっくり、抜く。

 実戦さながらの体位で、ゴム付けて抜く。

 また、別の見地から実際のピストンを楽にするためのトレーニングも不可欠だと思われた。要するに、

 股関節ストレッチングで楽々ピストン

 腕肩足の筋力強化で、意識を性感に集中。

 ということになるようだ。

 さて、語ることは語った。後は活目せよ。俺は抜く。俺も男だ。やってやれないことはない。名器の品格、アストロライドを両手に携えた裸の男は、ついにトレーニングを始めるのだった。いつか、このことを、娘や息子、孫達にゆっくりと話せる時が来ればいいな、とその男はどこかで考えていた。

 

  

  

 
ログイン ユーザー登録
ようこそ ゲスト さん