はてなブックマーク - パスワードによるログイン管理の陳腐化と制度整備の検討

パスワードによるログイン管理の陳腐化と制度整備の検討 - 雑種路線でいこう

d:id:mkusunok

タグ : security web セキュリティ WebService あとで読む後でパスワード blog mkusunok

コンピュータ・IT 40 users

Web屋さんのいう通り、パスワード管理にハッシュ関数を使わないサイトに問題があるんだけど、現実には難しいだろうね。どのサイトがセキュリティに配慮しているかなんて利用者からは分からないし、それぞれ別々のパスワードを設定したらメモするなり別の穴が出てくる。そろそろWeb サイト別のID・パスワードという認証スキームが破綻しつつある気がするんだけど、じゃあOpen-IDか？というと敷居が高いし、PKIやWindows CardSpaceといった技術も普及の気配はない。パスワードの管理にハッシュ関数を使う、それだけ... > このページを見る

最終更新時間: 2008年10月02日12時09分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

pokutuna Security, WebService
こわいなー 2008/10/03
tarchan web, security
Mac OS Xのキーチェーンみたいにユーザーが覚えるのはマスターパスワードだけにして、個々のサイトには自動生成したパスワードを設定するようにしたらどうか。 2008/10/03
NOV1975 web, security
エントリ書いた。パスワードによる管理が陳腐化したわけではなくて、いろんなサイトで入力しなければならなかったことの弊害だね。 2008/10/03
suVene security
『法律で義務付けるよりはOpen-ID等の普及』それ、オープンなログイン管理のあるWebサービス系ばっかりしか考えてなくなね。まぁ、そういう話題だからそれでいいのか。 2008/10/03
fuktommy security
どうにかしてOpenIDが普及しないものかな。TeckTalk.jpで使ってみたら便利だったんだけど、使うまでは便利さがわからなかった。 2008/10/03
T-norf
hashしてても、例えばsaltごと/etc/shadow取られたら、結構簡単にブルートフォースできちゃう。まあ、saltも簡単には分からなくしとけば、大丈夫か。 2008/10/02
yfujisawa
これってパスワードに限った話じゃなくて、そもそも信頼できるサイトかどうか判断してから登録（利用）すべきだと思う。Webサイトに限らず八百屋でも友達でも同じ。セキュリティは誰かが担保してくれるものじゃない。 2008/10/02
kkobayashi
元々OpenIDは認証目的ではなく、IPがユニークなIDを保証するだけの規格だった気がするけど・・・過剰な期待はどうなんだろ。ただ、信頼できるIPを作ってシングルサインオン、というのは現実的ではあるのかな。 2008/10/02
graph security, web
こないだ国会図書館の住所変更したら「変更後情報です」ってID/PASSがキレイに平文(笑)で印刷された紙くれて鼻水噴きそうになったよ！丁重に折りたたんで鞄の底に入れておいた。後で燃やした。 2008/10/02
miryu2008
「パスワード流出そのものは個人情報保護法違反に当たる」＜ホントに？聞いたこと無い。／追記修正されてた。ご配慮多謝。 2008/10/02
n2s security, パスワード
ハッシュ関数の移行ですが、認証成功時に新アルゴリズムでハッシュを再生成するのはどうでしょう？その瞬間であれば正しいパスワードがわかるわけですし。(PAM他でそういう実装があったら情報ください) 2008/10/02
masakanou セキュリティ, 後で
読む 2008/10/02