高木浩光＠自宅の日記 - 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章）

2019/07/08 653 users 高木浩光 序章 前置き 方式 7pay

■ 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章） 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンス... 続きを読む

徳丸浩の雑記帳: 数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ

2014/02/09 346 users 総当たり 徳丸浩 PHP JAL 主流

2014年2月10日月曜日 数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存... 続きを読む

パスワードリマインダが駄目な理由 | 徳丸浩の日記

2013/05/10 246 users 徳丸浩 方式 パスワードリセット パスワード URL

2013年5月10日金曜日 パスワードリマインダが駄目な理由 昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する（パスワードリマインダ） 新: パスワード再設定の画面のURLをメールで送信する（パスワードリセット） 新しい方式（パスワードリセット）の方が優れていますが、それでは何故パスワードリマインダは駄目で、パスワード... 続きを読む

text.ssig33.com - ソーシャルエンジニアリングを利用したクラックへの防衛法

2012/08/07 206 users ソーシャルエンジニアリング クラック 防御力 リセット用

ソーシャルエンジニアリングを利用したクラックへの防衛法 王道と言えるものはあまりないですが、以下二点を気をつければ防御力はそこそこ上がると思います。 1. サイト毎にログインメールアドレスを変える 一般的にパスワードをサイト毎に変更すべしというのは言われています。 そしてパスワードを忘れた際にはパスワードリマインダにサービスに登録しているメールアドレスを記入すると、リセット用のアドレスが該当メール... 続きを読む