パスワードをソルトつきハッシュ化してDBに保存するのがベストプラクティス…とは限らないという話 - kazuhoのメモ置き場

2013/11/18 114 users kazuho ベストプラクティス CRAM realm 責務

フレームワークの責務とセキュリティ - MugeSoの日記についての感想文です。世の中にはたくさんの通信プロトコルが存在し、中には、特定の条件でパスワードを含む文字列をハッシュ化した値を検証しなければならないものも含まれています。例えば、HTTP Digest認証の場合は、MD5("realm:user:password")を保存しておく必要がありますし、APOPの場合は生のパスワードを、CRAM... 続きを読む

APOPのぜい弱性で見えてきたMD5の「ご臨終」：ITpro

2007/05/22 129 users ITpro ぜい弱性 ハッシュ関数 認証プロトコル 欠陥

情報処理機構セキュリティセンターは4月，メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は，電気通信大学の太田和夫教授のグループが，APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は，APOPだけでなく，MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか，技術に基づいて考えてみよう。... 続きを読む

高木浩光＠自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に

2007/04/19 56 users 高木浩光 MUA 撲滅運動 ウェブメール 特需

■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろ... 続きを読む

APOP方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について

2007/04/18 69 users 弱点 注意喚起 脆弱性 SSH IPA

独立行政法人 情報処理推進機構（略称：IPA、理事長：藤原武平太）は、メールの受信に利用される認証方式の一つであるAPOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）に関する注意喚起を2007年4月19日に公表しました。 　具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログイン... 続きを読む