motcha mot@mastodon.motcha.tech
自分としては、日本のますんどど的にはmstdn.jpがフラグシップインスタンスを超えて膨張したことで分散の機会を逸したとは思っている…が、それがなければMastodonそのものがここまで広がったかというと…
motcha mot@mastodon.motcha.tech
Hashだから安全というわけでもない話http://www.atmarkit.co.jp/ait/articles/1110/06/news154.html
motcha mot@mastodon.motcha.tech
チャレンジレスポンスとかあるけども https://blog.ohgaki.net/making-password-authentication-better
motcha mot@mastodon.motcha.tech
結局システムを握ってるから、ハッシュをクライアント側で処理させてから通信投げさせる仕組みだとしても、そこを改変した状態で公開しちゃえばそれまで…?
motcha mot@mastodon.motcha.tech
https://ja.wikipedia.org/wiki/%E3%82%BC%E3%83%AD%E7%9F%A5%E8%AD%98%E8%A8%BC%E6%98%8E
motcha mot@mastodon.motcha.tech
問題は、PWを入力してサーバに送信して、その生データをHashに掛ける一手間は避けられないってこと。インスタンスの人が悪い人なら、”Hashに掛ける前”にやってきた生のパスワードを拾うだろうね。https通信だから暗号化してる?その復号鍵はサーバ管理者が持ってる。でなきゃ何にも読み取れん。
motcha mot@mastodon.motcha.tech
Hashは一方通行の関数で、入れた値を一定長のゴッチャゴチャに噛み砕いて(Hash)出力する。同じ値を入れれば、いつも同じHashになる。だから、PWそのものを覚えていなくても、Hashさえ知っていれば、相手から受け取ったパスワードをHashにかけることで正しいPWかどうかが確認できるっていう寸法。
motcha mot@mastodon.motcha.tech
確かにマトモなレベルのHashから平文への復元は、今の計算機では現実的なリソースと時間で行うメリットがないレベルにはなっている。
でも、それは「この金庫の鍵は破るのが難しい」のと同じレベルで…鍵を預けている管理人が悪い人だったら、どんなに破るのが難しくても中身は盗まれちゃうでしょ?だから、信頼できるインスタンスを選ぶのが一番。
※ちなみに、誰がこの世で一番信頼できるか?っていうと…自分なんだなぁ…
motcha mot@mastodon.motcha.tech
頑張れとか言っても言わなくてもやる奴はやってきたしやってない奴はやってないだけなのでいつも通りの結果が出るから…これまでの自分の行いを信じて気楽にやるべし(センター試験)