回答編集履歴
1
追記
test
CHANGED
|
@@ -5,3 +5,5 @@
|
|
|
5
5
|
パスワードが漏れるのはDBであるとは限りません。サーバの至る所で漏洩元になる可能性があるのです。生のPWを送ってしまうと、サーバ側でハッシュする前の段階で、例えばアクセスログなどにPWを出力してしまうなどやらかしてしまうかもしれません。クラッカーはログファイルを入手すればいいわけです。
|
|
6
6
|
|
|
7
7
|
たしかに、クライアントでハッシュ化しても、結局のところそれはPWと同等であって、セキュリティを確保するのには不十分なわけですが、ハッシュから元のパスワードが推測困難であれば、サーバからの漏洩が疑われたとしても少なくとも生PWを知らないわけですから漏洩元でないことを主張できるわけです。
|
|
8
|
+
|
|
9
|
+
それと、WebサービスごとにPWを変えるべきというのは理想論ですが、現実はそうしている人は少ないということも認識すべきかと。
|