Hiromitsu Takagi
@HiromitsuTakagi
Published: March 25, 2025
6
818
2.8k
暗証番号をハッシュ化するのは無意味。ハッシュ化に意味があるのは定義域が十分に広い時。取引暗証番号は6桁数字のようなので、それらのハッシュは全てが一瞬で復元される。(ソルトではなく鍵付きハッシュにした場合は鍵が同時に漏洩しないことが前提だが、別管理にするとこの用途に使えない。)
あーあ。こんなこと書いて何の意味があるんだ。
訂正:6桁数字ではなく、4桁文字列だった。25ビットなのでやはり瞬殺。6桁数字は20ビット。 https://www.rakuten-sec.co.jp/... https://x.com/HiromitsuTakagi/...
暗証番号方式(ログイン中のさらなる認証として)がダメなわけじゃない(漏えいがない前提で)ので念の為。どちらかというと、4桁制限が問題で(当たる確率が高すぎ)6桁以上が標準。 https://x.com/sack_magiclight
ログイン中のさらなる認証に数字6桁でいいことについては、これの(2)。 https://x.com/HiromitsuTakagi/...
暗証番号をハッシュ化する意味はない(昔から)ことが、逆に作用している悪い例はこれ。 https://x.com/HiromitsuTakagi/...
使い回しとの関係。 https://x.com/HiromitsuTakagi/...
「ログイン中のさらなる認証」ではなく、その「ログイン」に暗証番号じゃダメという話は、これ。 https://x.com/HiromitsuTakagi/...