「ワンタイムトークンをハッシュ関数で処理する意味はある?」へのコメント

yuu (2008年10月28日 15時26分)

>あと、どうでも良いのですが「セキュリティ対策」という言葉自体に違和感があります。

「SEO施策」というべきことを「SEO対策」と表現してしまっている、ていうのと同様ですね。

ばけら (2008年10月28日 18時8分)

>「SEO施策」というべきことを「SEO対策」と表現してしまっている、ていうのと同様ですね。

　ですねー。

# 某書ではなんとかその2単語は阻止しました。:-)

えむけい (2008年10月29日 2時23分)

> ※あるいは、オリジナルのハッシュアルゴリズムを採用して、そのアルゴリズム自体を秘匿するとか? :-)

たぶんご存じだと思いますが、ちゃんと暗号の専門家が設計したアルゴリズムでないと、アルゴリズムを秘匿しても暗号の専門家にはたちまち破られてしまって全く意味がないらしいですね。

> 気分的な問題で採用されているというのが近いかも。

HTTP Mutual Auth

ではpwd-hashのハッシュ方式として「なし」、MD5、digest-md5、SHA1が選べますが、「なし」が一番安全であり推奨されると書かれています。

> o "Pwd_hash" field is only provided for backward compatibility for

> password databases, and using "none" function is the mostly secure

> choice and RECOMMENDED.

気分でハッシュしたくなる人はなんで「なし」が一番安全なのか理解できないでしょうね。