[PHP-users 17537]Re: Sessionをつかったログイン情報の保存

[IWASAKI Dai]

いわさきといいます。

At Wed, 27 Aug 2003 13:26:23 +0900,
キャスター　マイルド wrote:
> ただ、初心者的な疑問を感じたのですが、
> パスワードを暗号化して、DBに格納する理由は、
> DBがハッキングされたときなど、パスワードが
> 暗号化されていなかったら、そのユーザーになりすましたり、
> 個人情報を盗まれるおそれがあると言うことですよね？
> 
> だったら、パスワードを暗号化しておく意味もよく分からなくなったのですが・・・

パスワードを暗号化しておかないとデータベースの管理者からは
まるわかりだということだけでも、パスワードを暗号化する利点が
あると思います。個人情報を扱う際にはなるべく管理者であっても
その情報を見ることはできないようにしておくことが重要であると
思います。


> でも、初めにDBがハッキングされているのなら、
> ハッカーはDBから直接個人情報を抜くのじゃないのかな〜と思いまして、

そのデータベースがユーザIDとパスワードだけの、「個人情報」的な
要素がないような場合でもやはりパスワードの暗号化は重要ですし、
「不正アクセスされたときにはどういう対策をしていても一緒だから
意味なし」という発想は、倫理上よろしくはないと思います。


---
To infinity and beyond...
いわさきだい  <dai ＠ tristan.jp>