アカウント名:
パスワード:
「Bluetoothを利用した「スマートロック」の多くには問題がある。既存の(物理的な)錠前にも多くの問題がある。」というだけの話だよね?スマートロックなら絶対安全だと思ってる人とかいるのかな。
パスワードを平文で送っちゃうのは既存の錠前に存在するすべての問題よりも酷いものですよ。というかパスワードを平文で送っちゃうと鍵の意味がない。今回問題があった鍵のメーカーは改善する気もないしね。
平文というか、鍵を傍受できてしまう事だよね問題は。何らかの変換が掛かっていたところでそれをそのまま鍵として使えるのならば問題は変わらないので、逆に平文だから特に粗悪という話ではないと思う。
平文なら粗悪確定じゃん?
そりゃそうだけど、平文かどうかへの注目にあんま意味がないと思うのよ。「パスワードを平文で」ってのにセンセーショナルな響きがあるから取り上げちゃうんだろうけどさ。
ハッシュ化されたパスワードがそのまま鍵として使えるけど平文で送ってるとこよりはマシ、みたいな発想はおかしくて。逆に平文であっても要求に耐える安全性が担保されていれば問題ない、そんな実装があるかは知らんけど、守るべきスコープを考慮しての設計に基づく暗号化でなければ、その暗号化は全くの無駄にしかならないんだから。
平文かどうかは重要でなくて、リプレイアタックを防げるかどうかのが重要ですよね。チャレンジ/レスポンス認証は、パスワードのハッシュではなくパスワード+チャレンジコードのハッシュを返すだけだけど、これだけでリプレイアタックを回避できる。
>平文であっても要求に耐える安全性が担保BTキー側にパスワード入力を行うタイプでBTキー自身の持つ鍵で認証を行った上でパスワードを平文で送るとかなら、BTキーが盗まれなければパスワードバレてても解錠されることは無い、かな。いやそっちもちゃんと認証しろよって話になるけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
実績を積んで少しずつ改善するしかないでしょ (スコア:0)
「Bluetoothを利用した「スマートロック」の多くには問題がある。既存の(物理的な)錠前にも多くの問題がある。」
というだけの話だよね?
スマートロックなら絶対安全だと思ってる人とかいるのかな。
Re: (スコア:0)
パスワードを平文で送っちゃうのは既存の錠前に存在するすべての問題よりも酷いものですよ。
というかパスワードを平文で送っちゃうと鍵の意味がない。
今回問題があった鍵のメーカーは改善する気もないしね。
Re: (スコア:0)
平文というか、鍵を傍受できてしまう事だよね問題は。
何らかの変換が掛かっていたところでそれをそのまま鍵として使えるのならば問題は変わらないので、
逆に平文だから特に粗悪という話ではないと思う。
Re: (スコア:0)
平文なら粗悪確定じゃん?
Re:実績を積んで少しずつ改善するしかないでしょ (スコア:0)
そりゃそうだけど、平文かどうかへの注目にあんま意味がないと思うのよ。
「パスワードを平文で」ってのにセンセーショナルな響きがあるから取り上げちゃうんだろうけどさ。
ハッシュ化されたパスワードがそのまま鍵として使えるけど平文で送ってるとこよりはマシ、みたいな発想はおかしくて。
逆に平文であっても要求に耐える安全性が担保されていれば問題ない、そんな実装があるかは知らんけど、
守るべきスコープを考慮しての設計に基づく暗号化でなければ、その暗号化は全くの無駄にしかならないんだから。
Re:実績を積んで少しずつ改善するしかないでしょ (スコア:1)
平文かどうかは重要でなくて、リプレイアタックを防げるかどうかのが重要ですよね。
チャレンジ/レスポンス認証は、パスワードのハッシュではなくパスワード+チャレンジコードのハッシュを返すだけだけど、これだけでリプレイアタックを回避できる。
>平文であっても要求に耐える安全性が担保
BTキー側にパスワード入力を行うタイプでBTキー自身の持つ鍵で認証を行った上でパスワードを平文で送るとかなら、BTキーが盗まれなければパスワードバレてても解錠されることは無い、かな。
いやそっちもちゃんと認証しろよって話になるけど。