  |
あーーーほ
暗号化しても平分で持ってても、ようはDBにアクセスされてる時点でハッキングされてるわけ。
そんなときに暗号化しておくともしかしたらパスワード悪用される前に時間稼ぎができるかもしれん。
そして強力なハッシュ+ソルト+ストレッチングするっていう、「現代のデファクトスタンダード」な運用なら一番その時間稼ぎができるわけ。
そもそもDBが完全無欠に守れる自身があるなら平分で保存でもいいわけなんだけど、んなわけねーだろ。万が一流出したときのダメージコントロールのためにハッシュカルル訳?ソコンところ理解できてないから、
安全化どうか?みたいなアホな観点でしかものを語れないわけよ。アホたれ
だからパスワードハッシュおもらししたら、直ちにおもらししたことを報告して、その間にハッシュでパスワード解読時間を稼いでる間に、おもらしされたユーザーは万が一他のサービスで同じパスワード使ってるとかいうアホなことしてたら、対応するわけよ。わかる?
まあでも、そもそも他のサービスでもパスワード流用してるタイプのアホは、そんな事しねーよみたいな気持ちもあるな。
そしたらそもそも、平文でほぞんしててもいいような気がしてきたけど、ハッシュで管理してて、アカウントの数が何千万とかあればだよ。
自分のアカウントのパスワードの解読まで一生かかっても作業が回ってこない可能性もあるので、事実上安全っちゃ安全かもしれない。
でもハッキング対象のアカウントが決め打ちでキメられてるなら、スパコンとか使って意地でも特定アカウントのパスワードを割り出すみたいな作業は可能かもれない。
だからってそれは、平文で保存したり、暗号化していい理由には並んと思ってて、
完全に安全にパスワードを管理することは無理だけど、限りなく安全に近い形で取り扱うことのできるハッシュ化(当たり前だけどそこには強力であること+個別のソルと使うこと+ストレッチングが含まれる)をするのは当然であって、
ハッシュが安全かどうかとか言ってる時点で、そもそもの何が問題で、なぜハッシュが良いとされているのか、なぜハッシュがデファクトで使われているのかってのをまるで理解してないと思う
そうやって表面だけの技術情報をなぞっただけでわかったような気持ちで文章書いてる時点で、自分の知識に対する過剰な自信と、慢心が溢れ出してて嫌いです
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。 可逆暗号化では、暗号化の解読が可能だが、ハッシュ...
あーーーほ そもそも何でハッシュ化が必要なのかわかってないんだろうな。 暗号化しても平分で持ってても、ようはDBにアクセスされてる時点でハッキングされてるわけ。 そんなときに...
めっちゃ早口でしゃべってそう
まるで本質を理解してなくて笑う
そもそも何回いうねん
どうやったら「平分」って打ち間違えるんだろう まさか「へいぶん」って読んでないよな... 「ひらぶん」だと「平文」としか変換できないんだが...
ここだけの話ワイもへいぶんって読んでたやで😓
ソルトめっちゃ長いな
blueboy氏はその辺のことわかったうえであのコメントを書いてるみたい 平文保持って言ったらサーバーにあるデータ盗まれたらアウトって誤解されそうだけど、そうじゃないって指摘でし...
退路を奪うな
退路?誰も間違ったことは書いてないって認識なんだけど
まあ、はてブってのは、わざと他人の話を曲解して、他人を「間違っている」と罵るための場所だから。
何回もハッシュ化するから無意味です
blueboy先生の弁明。 だからソルトをつけるんだよ。 ほんとにド素人だったんだな…。
ソルトの話は、すでに追記済みですよ。
ソルト付きハッシュ+ストレッチングはもうWeb開発者なら常識の範疇やろ。
Web開発者なら常識だとしたら、どうして記事の会社(ドコモ , softbank )は、それができなかったの? 常識じゃないからでしょ。日本の IT 技術はすごく低いんだよ。まずはそこから...
お前みたいな常識外れのバカがいたってことでしょ
あんた何を熱くなってんだ? まるで運動会で応援しているパパさんだぜ
言うほど運動会で応援してるパパさんは熱くなってるか? カメラを回すのに精一杯やないか?
ソフトバンクに関しては、 携帯でwebを見られない契約の人に対してパスワードを郵送するフローがあったため(今もある?)。
「安全のために○○しろ」 ↓ 「○○すれば安全だというのは間違い」 この反応って馬鹿に見える
それつまり、 「DBファイルは暗号化しているから平文じゃない」 という元コメントに対して、 「ハッシュ化の話をしないのはど素人だ」 と難癖を付けた はてなー多数に当てはまる話だ...
「安全のために避妊しろ」 『ちゃんと外出ししてるから大丈夫!』 「いや外出しは避妊じゃないというのは常識だろ」 難癖だと思いますか?
我慢汁でデキ婚するのも乙じゃあありませんか
たとえが間違っている。 「安全のために避妊しろ。方法はオギノ式で万全だ」 「オギノ式は万全じゃない」 「オギノ式の話をするだけで、コンドームやピルの話をしないのは、ど素人...
生中より咥えゴムダブルピース派
夏目(現:有吉)アナ・・・
「方法はオギノ式で万全だ」 たとえ話のこのくだりは、どれに当たるんだ 例えば元のハッシュ化の話だと「ハッシュ化すれば万全だ」という発言があることになると思うが
> たとえ話のこのくだりは、どれに当たるんだ 元コメントだと明示してあるだろ。元記事の次のコメントだよ。引用すると: > 「平文を個別に提供する」からといって、「パスワ...
「ハッシュ化すれば万全だ」とは誰も言ってないのに、「ハッシュ化しても安全とは言えない」ってキリッと反論したつもりになってるってことでいい?
> ってことでいい? 全然ダメだね。勝手に歪曲している。(誤読して改変している。) 「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話を...
もう Bcrypt 使うだけでよくなくね?
それでいい。 セキュリティの世界にあらゆる怪物を倒せる銀の弾丸は無いが、この例のように特定の種類の怪物を打ち倒す特攻武器はある。
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話を...
そもそも、DBファイルが平文でなく暗号化されているということを指摘して、事実報道の誤りを指摘したのが、元コメントだ。 それに対して、「正しいデータ保護には暗号化ではなく...
例1 https://anond.hatelabo.jp/20220830112403 長い!圧倒的に長い!しかも長い上に読みにくい!空白をふんだんに用いて読みやすくしているはずなのに、つめっつめで大量の文字数を書き連ねるコ...
BLってBlueBoyのこと?
blueboyさんこんにちは!
マッシュガイアすればオルテガか?
パスワードのハッシュとか管理者による文字列のソルトとかに加えて そのアカウントの名前とか年齢とか性別とかをつなげてハッシュ化したものをさらに加えたら強くなるかな
bycript という関数がすべて自動で十分に強くしてくれるんやで。 自分であれこれ工夫して強くなるか気にするくらいなら、基本的なライブラリを使った方が安心安全。
Bcrypt 使えばええんちゃうかな。
無限弁明編
35
