平文で保存っていうのは「masuda1234」っていう文章をそのまま保存場所に入れること。
そうするとそのまま保存されているファイルがみられたら「masuda1234」って文字が見れてしまうので流出=辞書攻撃のワードになり危険って話。
暗号化は「masuda1234」を例えば「masuda1234aaa」(例えばの話 普通はこんな簡単じゃない)というふうに保存するわけ。そんで、パスワードを照合するときに「masuda1234」って入力されたら、「ユーザー入力文字」+「aaa」を組み合わせて照合すれば照合が可能。
そうすると、保存するファイルが見られても「masuda1234aaa」なら、それを見た側が「masuda1234aaa」でログインを試みても照合に使われる文字列は「masuda1234aaaaaa」になって照合が出来ないし、別サイトでパスワード使いまわしていても「masuda1234aaa」はパスワードとして使えるわけがないので「masuda1234aaa」は暗号化された文章となる。
そこから「文字尾aaa」を取るっていう復号化を挟まなければいけないから、その復号化手段がわかるまでにパスワード変更を促すなりロジック変更なりを促せばまぁなんとかなるやろ って感じ。
別に僕はこのパスワードお漏らしした会社と縁もゆかりもないけど こういうパスワード平文のままにしちゃうサービス残っちゃうのは、よくあると思う。 まあ似たような事例ってこと...
学校で平文の話何回も聞いたけど未だに理解できない
平文で保存っていうのは「masuda1234」っていう文章をそのまま保存場所に入れること。 そうするとそのまま保存されているファイルがみられたら「masuda1234」って文字が見れてしまうので...
ハッシュ値について説明しようと思うたびに2chのトリップ機能がもっとメジャーになってれば説明が楽なのにって思う
一部の馬鹿がトリップに任意の文字列を出すとかいう逆方向の事やってるせいでハッシュ化とはいったいぐぬぬってなってる
それこそが Proof Of Work の源流
「パスワード問い合わせ」機能つけようとすると、そうせざるを得ないんだよね…>パスワード保存 勿論、他は「パスワード再設定」機能で置き換えようとするんだけど。素人さんには...
そんな10年前の理屈を出してごねるなよ
勝手に再設定したパスワード教えればいいんじゃないの?気に入らなきゃ、本人が変えればいいんだし…
あとアップデートを怠ったシステムとかね。 こういうのは管理者や経営者を刑務所にぶち込めるようにしないと根絶できない。
現代のまともなフレームワーク使ってりゃ勝手にやってくれるところだから気にしたことないわ
流出したのはパスワードじゃなくてアクセストークンだけどな。 アクセストークンだけだと、それに紐づくコンシューマーキーがないと使えないはずなんだけど、そこはどうなんだろう...
宅ふぁいる便の話とPeing質問箱の話が混ざってるような
もっとヤバいやつがあったのか…。
もっとヤバいやつがあったのか…。
ハッシュド・ポテトよりも、生のポテトの方がいいんじゃないか?
経営判断に必要なリスクの大きさを言わないのが悪い