Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
こんな仕事をしてるとたまに、受験を考えている学生さんから直接ご連絡を頂くことがあります。本日頂いたのはズバリこんな感じのもの。 セキュリティの研究をしたいのですが、XX大学と立命館大学どちらがいいですか ちょっとあなた(^^;そんなん私に聞いてXX大学って答えると思う?と思ってしまったのですが…まぁでも客観的にいってもXX大学は、大学院では情報セキュリティに力を入れてますが学部は昔の電気電子系の色合いの濃いカリキュラムでソフトウェア教育が弱く、あまりお勧めできないなぁ…と思ったので、こんな感じで返答しました。 とても残念なことに、日本には学部のレベルでセキュリティをしっかりと教えるカリキュラムを持っている大学は少ないと思います。すぐ思い当たるのは電気通信大学の情報理工学部総合情報学科がセキュリティ情報学コースを持っているくらいでしょうか。大学院はXX大学は情報セキュリティに力を入れています
現在のパスワードを教えてくれるからといって、「平文で保存してる!くぁwせdrftgyふじこlp」と脊髄反射してはいけません。 JALの6桁数字パスワードがどう格納されているか? 古いシステムなのでMD5でハッシュ化していると想定しますが、もちろんsaltは付けているでしょう。 さて、そんなパスワード保管方式で、現在のパスワード問合せに応答するシステムを作ってみます。 パスワードを「567890」、saltを「hoge」として、データベースには"hoge$567890"のMD5値"4b364677946ccf79f841114e73ccaf4f"が格納されているとします。 総当りしてみましょう。 (ns six-length.core (:require [clojure.core.reducers :as r]) (:import [java.security MessageDigest
■ 数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない JALマイレージバンクの不正アクセスが発覚して数日、いろんな人の意見を読んでいるのだけど「数字6桁の暗証番号*1は今どきのPCなら総当りでもすぐに解けてしまうから脆弱だ」という意見がみられて、それはまぁそうなんだけど、今回のような事件に関しては適切な表現ではないと思う。 ちなみに、'000000'から'999999'までバカ正直に順番にMD5を計算し、結果を別途計算してあった正解と比較するプログラムを実行すると、手元の環境ではたった1.5秒しかかからない*2。それでもJMBの会員2700万人分を計算すると450日余りかかることになるが、これだって今どきならクラウドで100コア分調達すれば4日ちょいで解ける計算だ*3。 じゃあやっぱり総当りで解けちゃうから危ないじゃんと思うかも知れないが、この計算が成り立
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く