なぜ、パスワードを平文で保存するのですか？【追記あり】

なぜ、パスワードを平文で保存するのですか？【追記あり】：こうしす！ こちら京姫鉄道 広報部システム課 ＠IT支線（12） 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第12列車は「サービス提供側のセキュリティ」です。

[uunfo]

いや、「復号可能な暗号化」はこの文脈では平文と同等では？／脆弱性として通報するのもありなのか

[ockeghem]

『以前登録した自分のパスワードがメールに記載されていたら、そのサービスではパスワードが平文で保存されています』<復号可能な暗号化されている可能性もあるので平文とは限らない

[nijitaro]

“ハッシュドポテト、芋に戻らず”

[mozukuyummy]

パスワード忘れたときに教えろと強弁するクレーマーへの消費者教育も必要だと思う。/ソルト&ストレッチング無いとルックアップテーブルで約半分のユーザはバレそう

[footnote]

2019年の記事とは思えない。

[lorenz_sys]

メールにパスワードが書かれている＝平文で保存とは限らない。パスワード忘れたから教えて->忘れていたパスワードが書かれたメールが来たなら平文保存。というかメールにパスワードを書いて送る運用は考え直すべき

[j-u]

平文でパスワードを保存しちゃいけないことは全エンジニアが理解しているけどそれでもなぜパスワードを平文で保存するシステムがあるのか、という根深い問題についてかと思ったら違った。。。

[overkitten]

で、なぜ、パスワードを平文で保存するん？

[north_god]

DBぶっこぬかれるような状況じゃコードも抜かれてるだろうしなー

[dagama]

どんなすごい鍵の付いた金庫でも、金庫ごと盗まれたらそのうち鍵は開けられてしまうってことを言っていった方がいいのでは

[nilab]

「パスワードを平文で保存しているWebサービスが多くあります。筆者も、有名なショップのECサイトや、有名企業の採用サイトで、パスワードを平文保存しているケースに遭遇したことがあります」

[zu2]

CHAP使ってるとサーバー側がパスワードを知っていないといけないので、ってのは20世紀に経験した

[versatile]

その後めちゃくちゃハッシュ化した

[kukita]

【#セキュリティ】タイトルの“なぜ、パスワードを平文で保存するのですか？”の答えは書いていないが、良いコンテンツ(๑•̀ㅂ•́)و✧ #パスワード #ウェブ #ハッシュ →

[oldriver]

この場合にIPA届出は有効？サービス提供者にとって既知、コストかかりそう、リスク低そう→即時対応は期待薄かと。ユーザーのリスク回避なら（配慮しつつ）情報公開では。そもそも非脆弱性ゆえ晒していいし届出無意味

[ikd9684]

なぜ平文で保存はするのか？もしくはなぜ復号できる方法で保存するのか？それは思想が誤ってはいないか？俺にはわからない。

[and_hyphen]

パスワードを平文で保存する理由を書いた記事ではなかった

[fa11enprince]

"同じパスワード、同じ方式であれば、ハッシュ値は同じになる" ！！！！？？？？？

[t-murachi]

cyrus-SASLどうにかならんもんかな…(´・ω・`)

[Palantir]

復号可能な暗号の場合、パディングして暗号化にAES256使って、暗号鍵を対侵襲装置に入れた上にネットワークから分離し、利用を法人責任者に指定された特定人員が指定目的に準拠する形でそれを異なる命令系統の2人文字

[S0R5]

CHAPってご存知ですか?

[hasegawatomoki]

ハッシュの話をソフトウェアデザイン 2017年6月号 & 7月号に書いたのでお手元にある方は読んでみてね！！「ハッシュと暗号は違うぞう！」という話です。

[kote2kote2]

ハッシュってなんの略？

[newnakashima]

暗号化されてたとしても、生パスワードがメールに乗って送られてくるの嫌すぎる。

[ooblog]

「パスワードがメールに記載~復号可能な暗号化だけでは~鍵も一緒に漏えい~復号して平文を得ることが容易」ハッシュ値の代わりにXOR採用でレコード長伸ばさず済ますCOBOL陰謀論想像。

[Kmusiclife]

ハッシュ化は法律で定めろ。2Stepを早めに入れろ。まじで。

[ysync]

何も知らん人にハッシュを説明するのが面倒でな…。"ユニーク"って言葉から伝わらないし。／8bitPC触ってた頃の古い友人には正確じゃないけどチェックサムを例に話たりするけど。

[Dai44]

平文と暗号化(復号可能)とハッシュ化(復号困難)を区別して書いたらいいのに

[Windblume2007]

“利用者のパスワードの平文保存はダメ、絶対。 必ずハッシュ化して保存する！”

[azzr]

id:kogule 通信路の安全性無しでは安全な認証なんて不可能では。特にwebだと、攻撃者はクライアント側で動くJSすら書き換えられるのだから、守りようがないと思う。

[kogule]

なぜパスワードを平文で保存していたかというとそうしないと認証できなかったから。SSL/TLS が普及した現在はピンとこないだろうけど通信路が安全でない場合はそうする必要がある。

[kazuau]

RADIUS認証がネック。PAPなら保管はハッシュだけでもいいけど生パスワードが平文で流れるし、CHAPは送受双方が生パスワード知ってることが必要

[strangerxxx]

ソルトとストレッチングしないと、ハッシュ化してもほぼ無意味じゃない？

[shikiarai]

誰からも見られる場所にあるなら復元不能にするのが普通。どうしても平文を残したいなら印刷して紙で保管してデータ上からは消し、パスワード表はIDと間接的にしか紐付かないようにするとかしないと。

[kathew]

平文側の言い分は「問合わせ時にパスワードを教えられる」とか「DBクライアントで操作できる」とか（ありえないですね）。そもそもDBの権限を持つ人にPWが見える時点で平文は×。その点では復号化可能な暗号化も同じ

[new3]

そもそもパスワードを記載したメールをPGPなしで送ってくるとか正気の沙汰ではないし、そこスルーして心配するのがDB、が志望動機は不採用。

[kazyee]

パスワードのハッシュ化は、20年前にはあった話なので、平文で保存する理由が分からないんだよな（忘れたときの問い合わせ対応用？）。http://www.hyuki.com/cgibook2/

[stk132]

「パスワードを忘れた方はこちら」のリンクをクリックしたら、再設定URLじゃなくて平文のパスワードがメールで通知されたときの戦慄ったらないね

[megazalrock]

パスワードをハッシュ化して保存すれば元の文字数は関係ないのに、やけに短い上限のサービスがあるのはなんでだろう？（すっとぼけ）

[shag]

一方向hash化してれば常に安全って訳でもないしな。md5 とかだと既に安全とは言えないし。こんな単純な議論ではないはずなんだけどな。