■パスワード平文提示のやつ何でダメか教えてほしい

https://www.itmedia.co.jp/news/articles/2203/15/news172.html

ドコモ・ソフトバンクのパスワード平文提示問題が話題になっていたが、その中のコメントが理解できていないのがで教えてほしい。

「パスワードを暗号化して保持していても、復号できるなら平文保持と同じ」旨のコメントがいくつかあったのだが、これはどういった理由なのだろうか？

暗号化パスワードが流出しても、十分な強度を持った暗号化方式を利用している限り、鍵が分からなければ復号できないはずだ（方式によってはIVも）

この鍵が容易に解析できるといっているのだろうか？

それだとPKIの仕組み自体が崩壊するので違うような気がする

それとも、サーバで保持しているであろう鍵も盗めるからダメと言っているのだろうか？

そうであればそれは鍵の管理方法次第で、プログラム内に保持しているもしくはユーザ情報(ネットワーク認証コード等)をもとに毎回生成している等であれば問題ないはずだ。

メモリ上の鍵や生成方法も盗まれるからダメという話であれば、それはハッシュ化したところで同じ問題が発生するはずだ。

ハッシュ化されたパスワードでも、ソルトやストレッチング回数を盗みさえすればある程度時間をかければデハッシュできてしまう。

なんでなんだ・・・教えてエライ人

Permalink | 記事への反応(2) | 20:28

ツイートシェア