パスワードハッシュはsaltと一緒にハッシュ化する
(Last Updated On: 2013年11月6日)このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 (音が大きいので注意!) このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連
コンピュータ・セキュリティは「再発防止」から「未然防止」へ向かうか — 旧メイン・ブログ | Baldanders.info
最近なかなか印象的な記事が出た。 【RSA Conference 2007】「専業セキュリティ・ベンダーは無くなる」,RSA社長が語る 【レポート】情報セキュリティは抽象論の時代から実効性の時代へ - 岡村弁護士 コンピュータやネットワークのセキュリティは「ウイルス対策ソフトやファイアウォールを入れておけば安心」という時代ではなくなった。 というか情報の可搬性が増すにつれ, それを扱う人の問題になってきた。 日本でそれを象徴的に示したのが Winny (ここでは Share 等の Winny 系ファイル共有ツールも含む)およびそれを媒体とするウイルス(ここではワームやトロイの木馬等も含む)による情報漏洩騒ぎだ。 しかも某政治家や一部のセキュリティ専門家が「Winny を使わなきゃいい」みたいな(実際にそう言ったわけではないが,そう受け取られかねない)発言をするもんだから話が捩れる捩れる。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
