パスワードを管理するには?

[上に] [前に] [次に]
茶しぶ男 2000/03/07(火) 10:36:10
広く会員を募集して、会員一人一人にパスワードを与え、うんぬん…(企業秘密^^)というサービスを企画しています。

現在(試験中)は、会員にスキなパスワードをあらかじめ入力してもらい、perlのcryptを使って保存…。という方法を使っていますが、予想されるのが、会員からの「パスワードを忘れてしまったから教えて!」という要望?です。

本当は、cryptで保存したパスワードから、真のパスワードに変換する方法を教えて! と書きたいんですが、そういうことをここで聞くとトンデモナイことに悪用しそうな人が出てきそうなので、聞きませんが…。

こういう時、そういうパスワードによるシステムを構築されている方は、いったいどのような方法で運用されてるのでしょうか。参考意見があれば、聞きたいのでお聞かせ願えないでしょうか?

無責任官庁 2000/03/07(火) 11:04:48
これは結構よくある解決法だと思うんですけども、
「忘れた!」といわれたら、システム側で任意にパスワードを設定
してしまうんです。管理者権限で無理矢理上書きね。
(ランダムな文字列を生成したりして)
で、
「あなたのパスワードは“・・・・”と設定されました。
近日中にパスワードの変更を行ってください」
といったお知らせをする・・・ってやつです。

私の所はこんな感じです。

andi 2000/03/07(火) 12:45:32
ユーザ登録された時にcrypt前のパスワードを
自分にメールするのはどうでしょうか?
過去分には対応できませんが。

びーだま [E-Mail] 2000/03/07(火) 13:36:53
>andiさん
crypt関数に渡す前の変数を取っておいてそれをメールさせればいい
のでは?

cryptした文字を平文パスワードに戻すことは出来ません(事になって
いる)が、平文パスワードを、cryptした結果が、前に cryptしたものと
同じパターンになるまで繰り返せば、合致したときの文字列が、そのパス
ワードであることになります。

従って、cryptによってつくられたパスワードはある程度短いことが
わかっていれば(ある程度時間がかかりますが、)機械的に総当たり
戦で崩せますね。。(^^;

というわけで、cryptしたパスワードファイルものぞかれてはいけません。

茶しぶ男 2000/03/08(水) 09:56:31
[[解決]]
いろいろご意見ありがとうございました。
現在はまだ試験中(つまり会員なし)なので、andiさんの案も採用可能です。

andiさんの案にするか、簡単なスクリプトをつくって、パスワードを無理矢理書きかえる(無責任官庁 さん案)のどちらにするかは、他の共同作業者と相談の上決めたいと思います。

ありがとうございました。

[上に] [前に] [次に]