heavy monologue

パスワードをどうやって保存しているのかわかりやすい解説。

パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか) - まちゅダイアリー (2007-10-23)
http://www.machu.jp/diary/20071023.html#p01

パスワードにsaltを足して、ハッシュアルゴリズムにかけるのが、現在は一般的ですかね。
saltを使わないと、ハッシュ関数を通した後の文字列を集めたDBなどで総当たり攻撃が用意だということですね。

ちなみにWindowsのパスワードはsaltなしにハッシュ化されているので、パスワードファイルの盗難のリスクがとても高いです。
（Lan Manager Hash）


リンク記事のコメントで知ったのだけど、総当たり用のDBを工夫して構築する方法なんてのもあるんですね。
レインボーテーブルって初めて知りました。

レインボーテーブル - Wikipedia
http://ja.wikipedia.org/wiki/%E3%83%AC%E3%82%A4%E3%83%B3%E3%83%9C%E3%83%BC%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB


セキュリティネタってイタチごっこの側面が強いので、たまには情報を追いかけておかないと訳のわからないことになりそうで怖い。
（IT業界全般に言えることでもあるけど）

どっちがどっちだったか、ごっちゃになっちゃうのでメモっておこう。

・オプトアウト
ユーザの許諾なしに、広告メールを送りつけること。
未承諾広告の表示等が必要とされているけど、実情は巧妙に隠した広告メールが多かったりする。

・オプトイン
ユーザが許諾したときに送られる広告メール。


ブラックリストとホワイトリストみたいなものですね。

ちなみに迷惑メールなどがばんばん届くことからも分かりますが、今はオプトアウト方式が多いです。
で、膨大な迷惑メールが飛び込んでくる実情のひどさから、行政を含めてオプトイン方式にシフトしようという動きがあるようです。


参考：
総務省のページの検索結果
http://www.soumu.go.jp/namazu/namazu.cgi?query=%A5%AA%A5%D7%A5%C8%A5%A4%A5%F3&whence=0&max=20&result=normal&sort=date%3Alate&reference=off