textbox.jp :: ネタ帳（旧）

• メールのパスワード暗号破った…ＡＰＯＰ規格を解読［読売新聞］
• APOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について［IPA］

で、この件を話題にしているブログを見ると、なんだかよく分かってないのに騒いでいる人がだいぶいますが、PCでメールを使っている人の多くは、暗号化しないでパスワードをそのまんま送ってます。何を今さらという事で。

今回解読されたAPOPつーかMD5も、解読のヒモを見つけるには経路にいくつか細工をする必要があるし、そもそもAPOP使おうがSSL接続しようが、インターネット上で流れる時は生のテキストなので、よっぽど大事なメールならメール自体をPGP等で暗号化せいっちゅう話です。

なので、これからは

• メールサーバとのやりとりはSSL接続が好ましい
• 金融系などの重要なパスワードと同じものを使わない
• 本文自体の漏洩が嫌なら、本文自体を暗号化する

ということで良いのかな。

オマケ：ざっくばらんに図示してみる。