749
やまだの侃侃諤諤やまだ、今日の一言 ∋ やまだ、2007年4月19日の一言 -- APOP が解読される
kankan-gakugaku

APOP が解読される

2007年4月19日(木) 07:57:58  参考ページ

おや、こまったね。APOP とはメール受信の際にサーバーとの通信中、パスワードを暗号化して送る仕組み。パスワードとか暗号というものはいつか必ず解読されるものだと思っているけど、こういう解読しましたと言う報告は見たくないね。

銀行のATM や金融機関のWeb ページでは、パスワードを定期的に変更するようにという警告をよく見る。でも、パスワードを定期的に変更することには大した効果はないと思うんですよ。パスワードを何度でもアタックできるなら、それこそコンピュータの得意技で時間さえかければ必ず突き止められる。それを避けるには、パスワードをある一定回数以上間違えたらロックするしかない。安易な反復試行をやめさせるしかない。(しかし、ロックしてもそのロックをどうやって解除するかはまた別の問題としてあるけど。)

定期的なパスワードの変更が意味を持つ人たちもいる。例えば、さまざまなものパスワードを同じものにしている人。うっかり一つのパスワードが破られたときにも、できるだけ早く他のもののパスワードを変えられれば被害を少なくできるから。

あまりまとまっていないけど、いったい何のためのパスワードなのかという気さえしてくる。

Comment欄

白のカピバラ 2007年4月20日 05:23:52

うわあああ、すげえー

いや、MD5 の逆関数つくったっていうのはすさまじい衝撃だよ。

MD5 のハッシュ衝突をやってみせたのが確か中国人女性でそれを知ったときにも驚いたけれども、ついには逆関数か。僕の中ではこれはどんな賞にも値する発見だが…

しかし、それは困ったな。いろいろ手を入れなきゃ。

やまだ 2007年4月20日 09:50:40

たしかにMD5 のハッシュが衝突するとは以前に聞いたことがあるが、衝突するなら逆関数は多価関数になるのかな?と疑問に思った。

白のカピバラ 2007年4月20日 12:51:58

いや、今調べたが読売新聞が馬鹿なだけのようだ。

逆関数ではないみたい。

やまだ 2007年4月20日 15:35:26

なるほど。意味が分かった。

コンピュータの性能に依るが長時間まわし続ければ、同じハッシュを得ることができる文字列を知ることができる。それが正しいパスワードだろうが、間違った文字列だろうが関係ないのね。

cram-md5 にしておけば、その度にハッシュ値が異なるのだから、気にしなくていい問題だということだろう。

みよみよ 2007年4月21日 19:44:11

今まで、全部md5にしてた・・・

やまだ 2007年4月21日 22:20:28

たぶん、一般の人のメールをエネルギーを注いでまで覗き見する人はいないので、気にすることはありません。

Name : (空欄歓迎)

E-mail or URL : (空欄可能)

Comment : (空欄不可。HTML のタグは一切使えません。URLらしい文字列はリンクになります。 最近、スパムが増えたので、NGワードを設定しました。もしそれにひっかかってしまったら表示されませんが、ごめんなさい。)

MINI System
Recent
Recent comments