「はてなはパスワードを生データで管理してる?」のはそんなに駄目なのか? - sshi.Continualhttp://d.hatena.ne.jp/ryoko_komachi/20060324/1143502995 はてなのDBにはパスワードがハッシュ値じゃなくて生のままはいってる!セキュリティ的に大丈夫なのか?っていうお話。何人か非難の声をあげている。 …ええっと、安全じゃない通信路(インターネット)に生のパスワードを流さずに済むダイジェスト系の認証を使おうとしたら、サーバ側には生パスワードがなきゃ無理だよね?認証する通信路の安全性の話に全く触れずに、パスワードの保存の仕組みだけを取りあげるのは何かおかしな話な気がする。勘違いがあったらご指摘ください。 生パスワードが流れても大丈夫なように認証を全てSSLで安全な通信路にすれば、ハッシュ値の保存だけで済んで安全っていう議論はありうるけど、そもそもそこまでする必要はあるんだろうか?パスワードDBが突破された後に守るべき物が残っているのだろうか
