Search in @mot
motcha reblogged at 7 years ago
botの人 Admin_eletusk@eletusk.club
今どきのユーザー制サイトは(マストドンもだけど)、ユーザーが決めたパスワード「は」保存しないもんなんです。
じゃあどうしてるのかと言うと、パスワードの文字列を不可逆な変換器を通した結果だけを保存してるんです。で、ユーザーがログインの際にパスワード入力したら、また同じ変換器を通して同じ結果が出るかどうかで、パスワードが正しいかをチェックするという仕組み。(なので自分はココの管理者だけど、みんなのパスワードは分からない)
んで、今回Twitterがやらかしたのは、変換器通す前の生のパスワードをうっかり内部ログに保存してしまった、と。
motcha mot@mastodon.motcha.tech
『鎖は一番弱いところから切れる』説でいくと、たいしてセキュアでなさそうなサービスと、大切なデータを預けたサービスのPWを同じにしておくことは危険なので…まぁ、最悪漏れてもいいかな、というサービスには相応のPWを使う思想でしたね
motcha mot@mastodon.motcha.tech
使いまわしはサービス増えれば増えるほどリスク上がるから、ヤバそうなサービス向けのたいして強くないPWと、大切なデータが入っていてそれなりに信頼できそうなサービス向けの強いPWを、それぞれ2種ずつくらい使いまわしていた
motcha mot@mastodon.motcha.tech
使い回したサービスのうちどれかが攻撃に屈するか、格好の餌食であるlastpassが陥落するか、どっちのほうがセキュアか天秤に掛けた結果、自分は後者のほうを選んでる
motcha reblogged at 7 years ago
motcha reblogged at 7 years ago