うひょぉ、これはちゃんと勉強しないと・・・

土曜日に第14回まっちゃ445に行ってきたんですが、その午後の部１本目がパスワードについての話でした。
以下、パスワードとパスワード情報の違いに気をつけながら聞いたつもりですが、きっと間違ってますので注意してね。
パスワード情報の保存の前提として、３項挙げられました。
・パスワード情報が漏れないこと
・ユーザーが強いパスワードを作ること
・saltを付ける他強度UPを施しつつハッシュ化
強度の議論は３つ目、定期的更新の議論は１つ目の話ですね。
パスワードを暗号化しての保存は、マスターキー＋パスワード情報の双方を入手されない限り安全性に問題はないわけだけれど、ことにマスターキーの方の管理コストが大きいのでやめた方がいいのではということでした。
ところで、「パスワードが使われる重要度によって」という単語を聞いた気がします。
IDとして最重要であるメールアカウントへのログインパスワードとか、複数のログインを１つのログインにまとめるOpenIDのパスワードとか、そういうのもパスワードの重要度は上がると思います。
それだとGoogleやYahoo、live.comのパスワードなんて最重要ですね。

ptlabo.net -