2007年04月19日

パスワード破り

新聞にAPOPが解読されたとの記事がのっていました。
スラッシュドットにも出ています。

APOPというのは、私の理解では次のようにメールの
パスワードを暗号化してチェックする方法だとおもいます。
まずサーバがチャレンジ文字列を送ります。
で、PCではそれをパスワードと組み合わせたものに対して
MD5というハッシュをかけた数値を求め、その数値を
サーバに送り返します。
サーバは同じ数値を求めてみて、数値があっていれば
パスワードOKとします。

今回の話はたぶん、悪意を持った人が小細工をすれば
パスワード(の一部?)がわかる、ということだとおもいます。

もっとも、いまだに暗号化なしのPOP3を
使っている人も多いわけです。
APOP以前に、こういったノーガード戦法のほうが
問題な気がするんですが。。
posted by あやまり+ at 21:23| Comment(0) | TrackBack(1) | 日記 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック


Excerpt: APOPPost Office Protocol (POP) は、電子メールで使われるプロトコル(通信規約)のひとつ。ユーザーがメールサーバーから自分のメールを取り出す時に使用する、メール受信用プロト..
Weblog: サーバー用語集
Tracked: 2007-10-21 18:41