18/01/16 23:09:23.65 kB1PyVUq.net
>>132
それはログインするときのの話だな
>>132のようなのものはサーバー側でパスワードを保存しておく必要はない
↓例えばこんな感じ
クライアント(パスワードを知ってる) → パスワード送信 → サーバー(ハッシュ化パスワードを覚えてる)
サーバー側は送信されたパスワードをハッシュ化したものと、覚えているハッシュ化したパスワードを比較してる
だけど単純なこの方法だと、サーバーはパスワードを覚えていないだけで
パスワードを送信しているので、結局メモリー上に一瞬とは言えパスワードが存在する
それを防ぐのがチャレンジ/レスポンス認証ってやつ。パスワードそのものを送らない仕組み
>>130
ただなパスワードマネージャーのようなソフトはどうしようもない
クライアント(パスワードを知ってる) → パスワード管理ソフト → パスワード送信 → サーバー(ハッシュ化パスワードを覚えてる)
パスワードは暗号化していても復号化してから送信しなければいけない
その時メモリを読み取れる可能性はある。有名なパスワードマネージャーは
その対策をしていると思うがどうやってるかは知らないw
最終的にはOSのパスワード管理機能が最強ってことになると思うんだが脆弱性見つかってるからな。
例えパスワードが頭にしかなくても入力している時には読み取れるだろうし、パスワードを使ってる限り
メモリ上のどこにもないってことはないだろうな