パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
[@IT] 月1500人が入社するリーマン・ブラザーズ、そのID管理とは
2006/7/12 「先月は1500人の社員が入社した。当社のSLA(サービスレベル契約)では24時間以内に入社した社員をITシステムに登録し、アプリケーションを使えるようにすることが求められる。これはアイデンティティ管理を自動化していないと不可能だ」。大手投資銀行、米リーマン・ブラザーズのインフォメーション・セキュリティ担当バイスプレジデント ラミン・サファイ(Ramin Safai)氏は、自社が導入したアイデンティティ管理システムの事例を紹介した。 リーマン・ブラザーズがアイデンティティ管理システムの導入を決め、プロジェクトをスタートさせたのは3年前。自社のトレーダーが起こした不正取引がきっかけだった。不正取引の実態を調べようとしたが、「その男が何にアクセスしていたかを調べるのに10人で6週間かかった」(サファイ氏)。リーマン・ブラザーズで使用されるアプリケーションは850種類に及び、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
