こんなニュースが出ていた。
November 04, 2013 ? CSO ? Researchers have revealed, and Adobe has confirmed, that the millions passwords stolen during the breach in October were not originally stored according to industry best practices. Instead of being hashed, the passwords were encrypted, which could make things a little easier for those looking to crack them.
Adobe confirms stolen passwords were encrypted, not hashed(CSO Online)
以前Adobeが盗まれたユーザ情報のパスワードが、ハッシュではなくて3DESで保存されていた、という話。記事にもあるが、最近はハッシュの方が安全とされており、3DESはまぁそんなザルって程でもないが、秘密鍵の可逆暗号なので、ハッシュと比べると解読の危険があるとの事。
まぁ、確かに秘密鍵がバレたら大変だからね。そこは守ってくれてると信じたいが。後は、同じパスワードの人がいっぱいいるとか、こいつらパスワード「123456」の奴めっちゃ多いな、みたいな情報もすぐ分かると、セキュリティの専門家が言ってます的なことが記事になってる。
でもそんなこと記事に書いたら、ああこのいっぱいいる奴がそうなのね、とかばれて、そこから秘密鍵が分かったり…しないか、流石に。とは言え、暗号化なんて「解読に時間が掛かるから、実質解読不可」前提で作られてるはずだから、最近のPCの進歩やクラウドパワーなどで何とでもなるのでは?という不安に駆られる。
まぁ、無知と不安は罪、ということですよ。
しかし実際問題として、昔からパスワードを暗号化して持ってました、だったとしたら、それをある時いきなりハッシュに変えろって言われても難しいよね。
あと、記事中に出てきたOWASP(Open Web Application Security Project)は気になった。一度サイトを読んでおこう。
