ついに1000ダメージ超え

うーんずるい

This account is not set to public on notestock.

This account is not set to public on notestock.

This account is not set to public on notestock.

This account is not set to public on notestock.

This account is not set to public on notestock.

​​​​

This account is not set to public on notestock.

正直自分で覚えるという選択をした時にさっきの以上に複雑にして覚えられるかという話が

自分で覚えないなら完全ランダムに生成しろ終了だし

まあ自分で覚えるという選択をした上で使い回しよりははるかにマシなのはそれはそう

大量のパスワード漏洩名簿を使って一括で大量乗っ取りしかけるときにはまず個別のパスワード文字列の構造まで解析する動機は薄いと考えられるので攻撃成功頻度は落とせる。

This account is not set to public on notestock.

ブログのアクセス解析
​​

てかOSSなんね

あっセルフホストできるのか

まあこういう悪さするの余裕なんであんまり使うなせめて実績あるところを（すでにあるんだから）使ってくれって論旨には変わりはないんですよ…
でももう少しなんか書くことあった気がする（

あんまり精度がよくない記事だけど
短縮リンクェ…という話を前にしたっけな
https://whiteblackspace.hatenablog.com/entry/2023/01/26/225032

実はonl.◯◯系については"確率で"本来のリンク先サイトじゃないところにリダイレクトされるって報告もあったから
そのへんもう少し詰めとけばよかったな

あと"中間ページ"が表示されて5秒ほどロード中表示がされるとかもあったのでそこもう少し詰めておけばよかったかな
（けどものがものなのであんまり実験したくなかった）

他にやりようはあるにしてもかなりさっくりとサイトへのアクセスコントロールをほとんど1主体に任せてしまう行為だから…
最悪フィッシングサイトに飛ばされるとかもありうるわけで

短縮リンクなーーーーこういうことあるから…

まーたキャッチーなデマを…と思ったらソースワシントンポストで草
https://www.washingtonpost.com/technology/2023/08/15/twitter-x-links-delayed/

いわゆるwebアプリケーションなのかは諸説なので…（？）

そのうちweb使うやつもなんかホストしてみたいわね（ふんわり）

使用メモリ量とかのメトリクスもなんかすぐ見れちゃう
​​

昔自分用redmineをたてて勉強のためにもLet's Encryptでhttps対応しようとして挫折した身としては
fly.ioがはいこれドメインはいもうhttpsアクセスできますってやってくれるの衝撃だわね…（今回使わなかったけど）

絵文字申請フォームまた更新されてるかな？

指紋認証にしても指とか手とか持ってかれるケースがあるとかないとか

頻出パスワードランキング的なのが公開された時「この中に僕の使ってるパスワードがあるので非公開にしてください」ってコメントが来た、って話思い出した
​​

環境変えたから重要度が高くなった

今使ってる数千円のやつがすぐダメになるから欲しい
使い心地は好きなんだけどな

キーボード、専門の店で買うのやりたいな

かなるさんのアイコンが変わっている

飛行機とかもだけど、命に関わるとこのシステムってすごいよなー

一方人間はヤーポン法ミスで飛行機をブチ落としていた

This account is not set to public on notestock.

券売機入力想定さん！！

This account is not set to public on notestock.

This account is not set to public on notestock.

ハッシュの衝突やら一意なIDの生成やらの話ときどき​​になって楽しい（？）

まあ暗号化って言葉のほうがハッシュ化より馴染みがあるってことで
元の文字列を違うものに変換するんだよって意味合いというのは十分わかる（
（saltの効果の説明が主題ならそれで十分だし）

This account is not set to public on notestock.

さっきも書いたけど結局この辺のセキュリティの話は「やろうとするとめっちゃ大変（1000年単位とか）」で確保してるところあるからな

This account is not set to public on notestock.

一個だけ心配があるとすればハッシュと暗号化は違うもので
簡単に言えばハッシュはハッシュ化後の値から元の値を復元できないけど暗号化は複合できる概念のことを指すことが多いにゃあ

​​

This account is not set to public on notestock.

これです（

「ソルト」をユーザーごとに違うものにすることで、みんなが「1234」というパスワードを使っていても、ユーザーごとに暗号文がバラバラになるんだ！　

​​

This account is not set to public on notestock.

「現実的な時間で突破するのが難しい」セキュリティってちょっと直感に反するというか
絶対に破れません！じゃないからややこしいところあるよな

さっきのsaltありレインボーテーブルだって精神と時の部屋に入るか無限個のレインボーテーブル作れるくっそ強計算機があれば突破されちゃうわけだし（？）

せやった（
＞暗号化

なんだこのオチ！

This account is not set to public on notestock.

This account is not set to public on notestock.

ちゃんと平文を保持してなかったなら開示できるわけないんだよな～～～～～～～

​​

This account is not set to public on notestock.

てか他キャリアもそうなのは知らなかったな
やっぱスマホ脳はダメだな（？？）

パスワード忘れた時直でこれやで！って送ってくるからユーザーはみんな知ってたと思う

ドコモ

という素人並感

とはいえ（？）さっき貼ったJPCERTのパスワード基準も前は文字種いっぱい使えって書いてあったとのことだし
研究が進んだ成果とか攻撃者とのバトルの成果とも言えるけど、今正しいと思われてるものが数年後やっぱダメだよって言われることもあるからね
難しいね～～～

え、今実際に起こってるって？​​

この想定はデータだけじゃなくてコードも全公開なのでsaltも当然漏れるしstretchの回数も漏れるもうお祭り状態だが（

RE: https://misskey.io/notes/9igor895un

まあ自分も受動喫煙だけでやらないんですが…
（紙が嫌いなので紙信仰の同人文化があまり好きではない）

同人やらないオタクなのがバレるぞ（バレたからといってどうということはない）

意外と知名度低いんかあそこ

This account is not set to public on notestock.

salt・stretchについては「もしシステム上の情報が全部漏れてもセキュリティを確保する」という​​な視点の話が面白かったんだけどどこいったかな…

むしろ自分で絶対実装してやるもんか！！という気概が大事（？）

まあ最近はこの辺一介のアプリケーション・サービス実装者が意識することってほぼないだろうしってか普通にオレオレ実装するなだよな（

saltありハッシュ＋パスワードがqwerty……ばれにゃい

そのへんのサイトの"なんかよさげな実装"はあまり参考にしないほうがいいことが多い（

これって意味なくね？とか隠したほうがセキュリティ的に安全！みたいな直感、それに反することを普通に研究者が理論化していたりするので軽くググる範囲でも読むと楽しいよ❤

ちょっとググってもらうと色々出てくると思うんだけど
saltはレインボーテーブル対策になってるのじゃ

まず理論的にはハッシュ化は一方後の操作で、ハッシュ化後の文字列からハッシュ化前の文字列を復元はできないと思ってほしい
例えばP@ssw0rdという文字列がabcde123456という文字列になるけどabcde123456を（元の文字列を知らずに）P@ssw0rdに戻すことはできない（値は仮）

ただこれ、事前に変換テーブルを作っておけば復元できてしまうよねという（これをレインボーテーブルという）
攻撃者はこんな感じで「よくあるパスワード」のハッシュ化後値一覧を作っておくだろうね

P@ssw0rd-[ハッシュ化]->abcde123456
123456789-[ハッシュ化]->dbbaaxxyy00
abcde-[ハッシュ化]->audhjeokk

このレインボーテーブルがあると、サーバーからハッシュ化後の値が漏れました、って時にこのテーブルを使って元のパスワードが復元できてしまう

そしてsaltがないパスワードのレインボーテーブルなんてこれまでに散々作られてるだろうから、相当長いパスワードでも逆引ける可能性が高いね！


ここでもしsaltを導入した場合、同じようにレインボーテーブルで突破するためには「salt入りのパスワードのレインボーテーブル」が必要になる
そしてこれはハッシュの性質によりsaltなしのテーブルから作成できず、新たにまた作成しないといけない
saltなしのテーブルよりはまだ"すでに作成された"大きさは小さいと考えられるので、十分長い安全なパスワードを使っていれば比較的安全…と言えるだろうという感じ

このsaltが確保する安全性は実はsaltが漏れても有効
saltおよびハッシュが漏れたとて、salt導入によりレインボーテーブルを作っておくコストがsaltなしより高くなるという効果は変わらないから


もちろんよくあるパスワードのレインボーテーブルなんてさっさと作れるから脆弱なパスワードを使うのはダメだぞ！！


というのがﾜｲでもわかる基本的な考え方の部分で、世の中にはもっと奥深い解説があるはずなので丸投げするぞい

RE: https://misskey.io/notes/9ignl5dhsr

鯖側では必須ってかそれやってないってことは平文保存​​

あとsalt・stretchしてくれってTLの有識者​​が言ってました

This account is not set to public on notestock.

:gan_puppu:じゃねんだよな

This account is not set to public on notestock.

まあそもそも自分で覚える前提じゃない方が安全という話はあるが
一人でも愚かな人間を減らすためには不要な制限はいらないよねっていう

https://www.jpcert.or.jp/pr/stop-password.html#tips1

、8文字で英大小文字＋数字＋記号（94種0.6京通り）をすべて使っても、解読コストの視点から考えると安価なため、容易に解読が可能となりますが、記号を使わない12文字以上であれば英小文字＋数字だけ（36種473京通り）でも解読コストは高くなり[1]、一定の強度を保てると推測できます。

This account is not set to public on notestock.

そしたらせめて2段階認証ほしいな…

某新幹線の予約サイトのそれは正直ヤバヤバのヤバだと思っているのだが、「券売機で入力可能なものにする」という理由を聞いて​​の顔になった

This account is not set to public on notestock.

This account is not set to public on notestock.

そんな驚かんでもオンライン即売会といったらあそこやろ…

と思ったところでそういえばあれ以外のオンライン即売会プラフォってあるのかなと気になった
聞いたことないな

This account is not set to public on notestock.

This account is not set to public on notestock.

This account is not set to public on notestock.

https://misskey.io/notes/9gmcx2kn69
これとか20ネスト制限引っかかって表示変になった例

20個までしか効果ないよ〜

RE: https://misskey.io/notes/9ig89vbn50

もりもり知名度貯めてゴリゴリレベル上げ気持ちいい

稼ぎゲー、ジャンキー…

いせそう楽しすぎ
永遠にできる

全部ソシャゲやん
やらなくて​​

This account is not set to public on notestock.

This account is not set to public on notestock.