[postfix-jp:03245] Re: APOPパ スワードの保護について

[Tatsuya Ueda <tatsuya@xxxxxxxxxxxxxxx>]

S-Lines Network Service の 上田 です。

「Hideo NAKAMITSU <nomo@xxxxxxxxxxxxx>」 さんの
「[postfix-jp:03244] Re: APOPパスワードの保護について」 への返信です。

> > > 正確には平文パスワードと言うより復号可能なパスワードですかね．
> > > APOPもCRAM-MD5もtelnetコマンドで認証実験を行ってみると動きがよく分かります．
> > 
> > 自分試したPOP3dはteapopというものだったのですが、試した限りAPOP認証を行う場合は、
> > 平文パスワードをデータベースに保持していないと認証ができなかったのですが、
> > 暗号化されたパスワードでできるPOP3dがあるのでしょうか？
> 
> ↑のように，復号可能な暗号化パスワードだった場合です．(base64エンコードなど)
>             ^^^^^^^^^^

すみません。思いっきり勘違いしていました。。


> > > > 個人的に、ネットワークに平文のパスワードが流れるよりはサーバ側で権限がなければ
> > > > 見れないところに平文パスワードが保持されている方がましだとは思うのですが、
> > > > みなさんはどうお考えでしょうか？
> > > > (ただ平文でパスワードを管理すると考えるとちょっと怖いような・・)
> > > > 
> > > > 意見を聞かせていただけたらと思います。
> > > 
> > > SSL/TLSではダメですか？
> > 
> > あいにく今現在利用している Becky が対応していないのと、自分以外のユーザも
> > 利用しているためSSL/TLSは今のところ使わないつもりで居ます。
> 
> それだと結論は難しいですね．
> ネットワークの盗聴を防止したい場合はAPOP
> サーバ側のパスワードを守りたい場合は不可逆パスワード
> どちらかを選択するしか無いかもしれません．

そうですね。もう少しこのことに関しては考えてみたいと思います。


> ただし，結局は(stoneなどを活用して)SSL/TLSを強要させる社内ポリシーなど
> 規定しない限り上田さんの眠れない夜が続くかもしれません(^^;

本当は一番これがいいとは思っているのですが、社内というより友人などに
アドレスを発行していて知識がある人間ばかりでもないので強要することは
難しいと思います。。


---
 TATSUYA   E-Mail : tatsuya@xxxxxxxxxxxxxxx
           W e b  : http://TATSUYA.info/