まともなサイトならパスワードって持ち出しても使えないって話｜More Access! More Fun

昨日書いたこのエントリー。 パスワードもオリジナルでPINコードも設定してるのにLINEが乗っ取られた これにFacebookやTwitterでついたレスを見ていたら、どうもパスワードの保存についてよく知らない人が多く、自分も専門家ではないけど、初心者程度の知識はあるから簡単に解説してみようと思います。専門家のみなさん、違っていたら教えてください。 まず、一番多い間違い × LINE中国の人がIDとパスを売ったらしい × Yahoo!やドワンゴから盗まれたIDとパスが使われた 昨日の自分の書き方も拙かったので、ここで改めて説明しますと・・・ 現在の最新のサービスでは、ユーザーが自分で決めたパスワードは、サーバがその場で暗号化して保存します。 この暗号化には「不可逆」のものと「可逆」のものがあります。 現在のほとんどの有力サービスでは「不可逆」の暗号化を行っています。この場合暗号化されたもの

[kamijin_fanta]

Yahooはメール提供してるからパスワード平文で持ってると思う 例えが悪い あとLINEが不可逆の暗号化方式でパスワードを管理してるという仮説に対しての根拠が薄い

[daiaso]

前のエントリと矛盾してないかこれ。じゃあオリジナル？のパスワードに変更したのに乗っ取られたとはどういうことなんだ？

[mkusunok]

だいたい正しいけど、最近は一方向関数を使っていても、ちゃんと塩をまぶしてないと辞書攻撃やレインボーテーブルで割れる場合も

[weekly_utaran]

最後に全く無関係なアフィ宣伝とか人を馬鹿にしているんだろうか、やっぱりこの人だめだ・・・・

[fukken]

細かい補足はつけられるけど（レインボーテーブル攻撃とかストレッチングとか）、大筋では合ってる。生パスワードを漏洩させたサイトとしてはatwikiが大規模。

[asuka0801]

「パスワード保存時はソルト付きハッシュ化、パスワード忘れたら再発行」が当たり前になって欲しいですね

[tbsmcd]

で、そのマイなんたらと共通のパスワードをLINEに設定したという話だったのが謎すぎる

[ka-ka_xyz]

専門家じゃないけどとりあえず、"「プルートフォース」"じゃなくて「ブルートフォース」（Brute Force）。あと、ハッシュ化してても平文が復元される可能性はある。

[uxlayman]

パスワード平文で送られるとほんとぞわっとする。頭おかしいと感じるレベル

[hoge256]

不可逆性でも使ってるアルゴリズムとかsaltの有無とかによってはレインボーテーブルでやられちゃうかも。そもそも手元にデータあったらブルートフォースやり放題だと思われ。