パスワードをソルトつきハッシュ化してDBに保存するのがベストプラクティス…とは限らないという話 - kazuhoのメモ置き場

2013/11/18 114 users kazuho ベストプラクティス CRAM realm 責務

フレームワークの責務とセキュリティ - MugeSoの日記についての感想文です。世の中にはたくさんの通信プロトコルが存在し、中には、特定の条件でパスワードを含む文字列をハッシュ化した値を検証しなければならないものも含まれています。例えば、HTTP Digest認証の場合は、MD5("realm:user:password")を保存しておく必要がありますし、APOPの場合は生のパスワードを、CRAM... 続きを読む

APOPのぜい弱性で見えてきたMD5の「ご臨終」：ITpro

2007/05/22 129 users ITpro ぜい弱性 ハッシュ関数 認証プロトコル 欠陥

情報処理機構セキュリティセンターは4月，メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は，電気通信大学の太田和夫教授のグループが，APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は，APOPだけでなく，MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか，技術に基づいて考えてみよう。... 続きを読む