McAfeeがパスワードを生で持っている件 - kogawamの日記
高木浩光氏が、docomo IDを作ると生でパスワードを保管されてしまう( http://takagi-hiromitsu.jp/diary/20100314.html#p01 )という記事を書いている。docomoのインターネットセキュリティに関するスジの悪さは何なんでしょうね…。 さて、最近似たようなことに出くわしたので、記録。 世界的なセキュリティ会社として有名なマカフィーですが、ウェブサイトのパスワードは生(非可逆変換ではない形式)で持っているようだ。 確認したのは、マカフィー日本語サイトの個人顧客のためのサイト。確か、サポートとかお買い物とか、クレジットカードで自動更新のために、アカウントが発行されてるんだったと思う。 確認手順は以下のとおり。 ログインページ( https://home.mcafee.com/Secure/Protected/Login.aspx )で「パスワー
Webサイトがパスワードを可逆状態で保存しているかを見分ける10のポイント - Webと何かとその近所
秘密の質問に答えるとパスワードが表示される パスワードを忘れたときのフォームにメールアドレスを入力するとパスワードが書かれたメールが送られてくる ユーザーサポートに電話するとパスワードを読み上げてくれる ユーザーサポートにメールするとパスワードが書かれたメールが返ってくる パスワードが4桁の数字縛り パスワードの大文字小文字がなぜか区別されていない*1 パスワードの最大長が妙に短く8文字とかになっている 最大長を超えたパスワードも受け入れてしまうがログインで使えるのは最大長に切り詰めたパスワード*2 パスワードは暗号化して保管しますと書いてあるプライバシーポリシーがコピペ *1:MySQLではBINARY属性を指定しないと比較時に大文字小文字を区別しない *2:MySQLではカラムの最大長を超えた文字列のINSERTが失敗しない
おさかなラボ - passwordのより安全な保管方法(saltとは何か)
UN*Xパスワードの保存方法を知っている人には常識のはずだが、最近パスワードの保存方法について誤解が散見されるように思うのでこのエントリを立てた。 パスワードはMD5などでハッシュを取って保存する(DES等を使う場合もある)方法が広く使われている。その際、パスワードをそのままハッシュすると危ないので、プログラム側でMD5を取る時に、ランダムな定数を混ぜ、これのハッシュを取ることによってハッシュの安全性が増加する。つまり以下のようなコードになる $passwd = Digest::MD5::hex_md5($user_id . ‘woeifoweij’); # これで大丈夫(?) これで簡単にクラックすることはできない。 ……という理屈は正しいとは呼べない。パスワードに付加する文字列をsaltと呼んだりするが、これでは充分とは言えない。saltの利点はそれだけではないのだ。 このク
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
