パスワードにストレッチングは必要か。
ECナビさんのBlogを発端とした、パスワードの暗号強度を高めるためにストレッチングは行うべきかという専門家の方のつぶやきのまとめ。途中からパスワードの定期変更は不要なのかについても派生していっていますが、一緒にまとめました。
北河拓士🔰
@kitagawa_takuji
パスワードの有効期限の設定はオンラインクラックでは無意味、推測困難性やロックアウトの設定の方が重要。但し脆弱性などによりハッシュが漏洩した場合のオフラインクラック対策やソーシャルなどにより平文パスワードが漏洩した場合に被害を限定的にする保険としてはパスワードの定期変更も意味がある
2011-04-22 11:54:59
北河拓士🔰
@kitagawa_takuji
パスワードの有効期限の設定はオンラインクラックでは無意味、推測困難性やロックアウトの設定の方が重要。但し脆弱性などによりハッシュが漏洩した場合のオフラインクラック対策やソーシャルなどにより平文パスワードが漏洩した場合に被害を限定的にする保険としてはパスワードの定期変更も意味がある
2011-04-22 11:54:59
北河拓士🔰
@kitagawa_takuji
Webアプリの場合はね RT @tomoki0sanaki: 個人的には、パスワードハッシュ値がダダ漏れした時点でコールドゲームって感じがする。
2011-04-22 12:03:01
北河拓士🔰
@kitagawa_takuji
ハッシュ漏洩の危険性は、WebアプリとWindows(ローカル)の場合で大きく異なる。よって定期変更の必要性も別けて議論する必要がある。WebアプリではSQL Injectionを塞ぐなど対策も比較的簡単。Windowsでは対策は困難。
2011-04-22 12:10:28
徳丸 浩
@ockeghem
同意します RT @kitagawa_takuji: ハッシュ漏洩の危険性は、WebアプリとWindows(ローカル)の場合で大きく異なる。よって定期変更の必要性も別けて議論する必要がある…
2011-04-22 12:15:43