[PHP-users 19159]Re: CRYPTのタイミングについて

[SAWADA Hodaka]

At Mon, 01 Dec 2003 12:24:28 +0900,
Y.Watanabe wrote:

> >kohei-wさんの「[PHP-users 19156] CRYPTのタイミングについて」から
> >>それをcrypt($今回のユーザーログインの値)と付き合わせれば認証は
> >>可能なのだと思いますが、これでは、パスワードを忘れたお客様に
> >>こちらが告知することが出来なくなってしまいます。
> >>だとすると、MYSQLには平文を登録してそこからPHPに引き出したときにだけ
> >>暗号化すればよいのでしょうか。
> >
> >      てっとりばやい全然違う方法ですが(苦笑)パスワード忘れのときはラン
> >    ダムパスワードを作成=>送付し, 改めてパスワードを設定してもらうのも
> >    ありがちなパターンです.
> 
> 僕もこの方法をおすすめします。
> システムの種類を問わず、パスワードの管理は、
> 暗号化保存＆パスワード忘れのときは新規発行して
> それを送付（その後ユーザー自身が変更）、というのが
> 本来あるべき姿では？
> ＃ 平文のままのパスワードをＤＢやファイルに持ってるシステムが氾濫
> ＃ している今の状況のほうがおかしいんだと思う。

素のパスワードを預かっていると、万が一情報漏洩したときに
他のサイトなり銀行預金なり郵便貯金にまで被害が及ぶ可能性があります。

そこまでのリスクを背負いたいですか?

で、暗号化パスワードしか預かっていない場合は、
自分のところのサービスを踏み台にされる可能性が、
一つ減るということで、安心です。

こういう観点もあるということで、暗号化パスワードのみ保存をおすすめします。
-- 
         =^^= HODA =^^=          http://www.tail.gr.jp/~hoda/
澤田保隆@しっぽアルゴリズム情報研究所  mailto:hoda ＠ tail.gr.jp