パスワード問合せシステムを作る (clojureのreducers) - Qiita
現在のパスワードを教えてくれるからといって、「平文で保存してる!くぁwせdrftgyふじこlp」と脊髄反射してはいけません。 JALの6桁数字パスワードがどう格納されているか? 古いシステムなのでMD5でハッシュ化していると想定しますが、もちろんsaltは付けているでしょう。 さて、そんなパスワード保管方式で、現在のパスワード問合せに応答するシステムを作ってみます。 パスワードを「567890」、saltを「hoge」として、データベースには"hoge$567890"のMD5値"4b364677946ccf79f841114e73ccaf4f"が格納されているとします。 総当りしてみましょう。 (ns six-length.core (:require [clojure.core.reducers :as r]) (:import [java.security MessageDigest
数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ
JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存しても、実用的な速度でハッシュ値から元パスワードを『解読』できるよ」と、JALを擁護(?)するエントリが現れました。 パスワード問合せシステムを作る (clojureのreducers) この記事では、最初Clojureによる単純な総当たりで36秒、Clojureのreducersによる並列化で11秒でハッシュ値から元パスワードが求められるよ、と説明されています。まことに痛快な記事ですので、未読の方には一読をお勧めします。 とはいうものの、100万件のMD5の総当たりが、逐次実行で36秒、並列化して
「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」
日本航空(JAL)は2月3日、「JALマイレージバンク」のWebサイトに不正ログインがあり、一部ユーザーのマイレージが第三者によって引き落とされ、Amazonポイントに交換されていた可能性があると発表した。被害拡大を防ぐため、全ユーザー2700万人にパスワードの変更を呼びかけている(解説記事:JALマイレージバンクの不正ログイン、セキュリティと便利性のバランスが問題に?)。 1月31日~2月2日にかけ、計7人のユーザーから「自分のマイルが意図せず引き落とされている」という相談があり、調査したところ、不正ログインの可能性があることが発覚。2日午後4時以降、マイルをAmazonポイントに交換するサービスを停止した。 ログを調査したところ、不正ログインを受けた可能性があるユーザーは60人。申告のあった7人の被害額は合計数十万円程度という。不正ログインの経緯は分かっていないが、現在のところ、同社サ
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
