APOPの話。MD5を使っていることに起因した脆弱性を利用した実証実験。 当面の対策としては、従来からいわれている「パスワードを定期的に変更すること」、「メールソフト側で、APOP の規約に従ったチェックを行うこと」の2 点を行う必要があることがわかりました。特に、パスワードの変更周期については、使用しているパスワードやサーバーへの接続頻度によりますが、1か月〜2 か月毎の変更の必要性が判明しました。 「MD5 の安全性の限界に関する調査研究」に関する報告書:IPA 独立行政法人 情報処理推進機構 概要資料を読んだんだけど、41日くらいで解読されちゃうそうで。 これだけ読んでても具体的な攻撃方法がわからない。ちょっと考えるとMD5の衝突可能性を突いてもパスワードが解読されるという話にならないけど、そのことについても報告書には載っています。勉強になるぞコレは。 ふむふむ、攻撃にはクライアント