パスワード問合せシステムを作る (clojureのreducers) - Qiita
現在のパスワードを教えてくれるからといって、「平文で保存してる!くぁwせdrftgyふじこlp」と脊髄反射してはいけません。 JALの6桁数字パスワードがどう格納されているか? 古いシステムなのでMD5でハッシュ化していると想定しますが、もちろんsaltは付けているでしょう。 さて、そんなパスワード保管方式で、現在のパスワード問合せに応答するシステムを作ってみます。 パスワードを「567890」、saltを「hoge」として、データベースには"hoge$567890"のMD5値"4b364677946ccf79f841114e73ccaf4f"が格納されているとします。 総当りしてみましょう。 (ns six-length.core (:require [clojure.core.reducers :as r]) (:import [java.security MessageDigest
何をされても破られない!? 研究が進む「次世代パスワード認証」の仕組み | ライフハッカー・ジャパン
MIT Technology Review:私たちはパスワードを使って個人情報、自宅の鍵、銀行口座など様々な情報を守っています。幅広く使われている方法ですが、覚えやすいパスワードは破られやすいという弱点があるのも事実です。 パスワード以外の認証方法として、ジェスチャー認証やバイオメトリクス認証、ウェアラブルデバイスの活用などが考案されています。中でも、アメリカのSRI international社、スタンフォード大学、ノースウエスタン大学は全く新しい「本人も知らないパスワードで認証する方法」を研究しています。SRI社のコンピュータ科学研究所で所長を務めるPatrick Lincoln博士は研究中の認証方法のことを「脅されても破られない認証方法」と呼んでいます。 従来のパスワード認証方法ではパスワードを他人に教えることができるため、もしもパスワード保持者が脅かされれば破られてしまいます。Li
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
