  |
あーーーほ
暗号化しても平分で持ってても、ようはDBにアクセスされてる時点でハッキングされてるわけ。
そんなときに暗号化しておくともしかしたらパスワード悪用される前に時間稼ぎができるかもしれん。
そして強力なハッシュ+ソルト+ストレッチングするっていう、「現代のデファクトスタンダード」な運用なら一番その時間稼ぎができるわけ。
そもそもDBが完全無欠に守れる自身があるなら平分で保存でもいいわけなんだけど、んなわけねーだろ。万が一流出したときのダメージコントロールのためにハッシュカルル訳?ソコンところ理解できてないから、
安全化どうか?みたいなアホな観点でしかものを語れないわけよ。アホたれ
だからパスワードハッシュおもらししたら、直ちにおもらししたことを報告して、その間にハッシュでパスワード解読時間を稼いでる間に、おもらしされたユーザーは万が一他のサービスで同じパスワード使ってるとかいうアホなことしてたら、対応するわけよ。わかる?
まあでも、そもそも他のサービスでもパスワード流用してるタイプのアホは、そんな事しねーよみたいな気持ちもあるな。
そしたらそもそも、平文でほぞんしててもいいような気がしてきたけど、ハッシュで管理してて、アカウントの数が何千万とかあればだよ。
自分のアカウントのパスワードの解読まで一生かかっても作業が回ってこない可能性もあるので、事実上安全っちゃ安全かもしれない。
でもハッキング対象のアカウントが決め打ちでキメられてるなら、スパコンとか使って意地でも特定アカウントのパスワードを割り出すみたいな作業は可能かもれない。
だからってそれは、平文で保存したり、暗号化していい理由には並んと思ってて、
完全に安全にパスワードを管理することは無理だけど、限りなく安全に近い形で取り扱うことのできるハッシュ化(当たり前だけどそこには強力であること+個別のソルと使うこと+ストレッチングが含まれる)をするのは当然であって、
ハッシュが安全かどうかとか言ってる時点で、そもそもの何が問題で、なぜハッシュが良いとされているのか、なぜハッシュがデファクトで使われているのかってのをまるで理解してないと思う
そうやって表面だけの技術情報をなぞっただけでわかったような気持ちで文章書いてる時点で、自分の知識に対する過剰な自信と、慢心が溢れ出してて嫌いです
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。 可逆暗号化では、暗号化の解読が可能だが、ハッシュ...
あーーーほ そもそも何でハッシュ化が必要なのかわかってないんだろうな。 暗号化しても平分で持ってても、ようはDBにアクセスされてる時点でハッキングされてるわけ。 そんなときに...
めっちゃ早口でしゃべってそう
まるで本質を理解してなくて笑う
そもそも何回いうねん
どうやったら「平分」って打ち間違えるんだろう まさか「へいぶん」って読んでないよな... 「ひらぶん」だと「平文」としか変換できないんだが...
何回もハッシュ化するから無意味です
blueboy先生の弁明。 だからソルトをつけるんだよ。 ほんとにド素人だったんだな…。
ソルトの話は、すでに追記済みですよ。
所でお前らは、パスワード管理どうしてんの? 俺は、 0:AB あ:0C ア:!D みたいに、英数字記号との二文字組み合わせが1000くらいある乱数生成したマップを作って、各パスワードは あ1イ2...
エニグマに自分の名前打ち込んで暗字生成してる
4つぐらい決めてそれで回している
ランダムな文字列を入力してセッションが切れるたびに再発行してる
円周率を10文字ずつ切って、パスワードにしてる。
「安全のために○○しろ」 ↓ 「○○すれば安全だというのは間違い」 この反応って馬鹿に見える
それつまり、 「DBファイルは暗号化しているから平文じゃない」 という元コメントに対して、 「ハッシュ化の話をしないのはど素人だ」 と難癖を付けた はてなー多数に当てはまる話だ...
「安全のために避妊しろ」 『ちゃんと外出ししてるから大丈夫!』 「いや外出しは避妊じゃないというのは常識だろ」 難癖だと思いますか?
我慢汁でデキ婚するのも乙じゃあありませんか
たとえが間違っている。 「安全のために避妊しろ。方法はオギノ式で万全だ」 「オギノ式は万全じゃない」 「オギノ式の話をするだけで、コンドームやピルの話をしないのは、ど素人...
生中より咥えゴムダブルピース派
夏目(現:有吉)アナ・・・
「方法はオギノ式で万全だ」 たとえ話のこのくだりは、どれに当たるんだ 例えば元のハッシュ化の話だと「ハッシュ化すれば万全だ」という発言があることになると思うが
> たとえ話のこのくだりは、どれに当たるんだ 元コメントだと明示してあるだろ。元記事の次のコメントだよ。引用すると: > 「平文を個別に提供する」からといって、「パスワ...
「ハッシュ化すれば万全だ」とは誰も言ってないのに、「ハッシュ化しても安全とは言えない」ってキリッと反論したつもりになってるってことでいい?
> ってことでいい? 全然ダメだね。勝手に歪曲している。(誤読して改変している。) 「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話を...
もう Bcrypt 使うだけでよくなくね?
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話を...
そもそも、DBファイルが平文でなく暗号化されているということを指摘して、事実報道の誤りを指摘したのが、元コメントだ。 それに対して、「正しいデータ保護には暗号化ではなく...
BLってBlueBoyのこと?
blueboyさんこんにちは!
マッシュガイアすればオルテガか?
パスワードのハッシュとか管理者による文字列のソルトとかに加えて そのアカウントの名前とか年齢とか性別とかをつなげてハッシュ化したものをさらに加えたら強くなるかな
bycript という関数がすべて自動で十分に強くしてくれるんやで。 自分であれこれ工夫して強くなるか気にするくらいなら、基本的なライブラリを使った方が安心安全。
Bcrypt 使えばええんちゃうかな。
無限弁明編
これら↓を考慮しないハッシュの議論に意味は無い 何のアルゴリズムでハッシュ化するか(md5 や sha256, sha512 など) ソルトの追加 ストレッチング回数 レインボーテーブル対策はソ...
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="15" height="15"><rect fill-opacity="0"/></svg>){kind=small}
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="41" height="13"><rect fill-opacity="0"/></svg>)
![記事への反応](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="18" height="18"><rect fill-opacity="0"/></svg>)
10
