パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Bluetoothを利用した「スマートロック」の多くには問題がある」記事へのコメント

  • 「Bluetoothを利用した「スマートロック」の多くには問題がある。既存の(物理的な)錠前にも多くの問題がある。」
    というだけの話だよね?
    スマートロックなら絶対安全だと思ってる人とかいるのかな。

    • by Anonymous Coward

      パスワードを平文で送っちゃうのは既存の錠前に存在するすべての問題よりも酷いものですよ。
      というかパスワードを平文で送っちゃうと鍵の意味がない。
      今回問題があった鍵のメーカーは改善する気もないしね。

      • by Anonymous Coward

        平文というか、鍵を傍受できてしまう事だよね問題は。
        何らかの変換が掛かっていたところでそれをそのまま鍵として使えるのならば問題は変わらないので、
        逆に平文だから特に粗悪という話ではないと思う。

        • by Anonymous Coward

          平文なら粗悪確定じゃん?

          • by Anonymous Coward

            そりゃそうだけど、平文かどうかへの注目にあんま意味がないと思うのよ。
            「パスワードを平文で」ってのにセンセーショナルな響きがあるから取り上げちゃうんだろうけどさ。

            ハッシュ化されたパスワードがそのまま鍵として使えるけど平文で送ってるとこよりはマシ、みたいな発想はおかしくて。
            逆に平文であっても要求に耐える安全性が担保されていれば問題ない、そんな実装があるかは知らんけど、
            守るべきスコープを考慮しての設計に基づく暗号化でなければ、その暗号化は全くの無駄にしかならないんだから。

            • by Anonymous Coward on 2016年08月14日 4時40分 (#3063036)

              平文かどうかは重要でなくて、リプレイアタックを防げるかどうかのが重要ですよね。
              チャレンジ/レスポンス認証は、パスワードのハッシュではなくパスワード+チャレンジコードのハッシュを返すだけだけど、これだけでリプレイアタックを回避できる。

              >平文であっても要求に耐える安全性が担保
              BTキー側にパスワード入力を行うタイプでBTキー自身の持つ鍵で認証を行った上でパスワードを平文で送るとかなら、BTキーが盗まれなければパスワードバレてても解錠されることは無い、かな。
              いやそっちもちゃんと認証しろよって話になるけど。

              親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...