i-Sprint社のe2eeについてのページを追加しました。
サーバー攻撃からパスワードを守る E2EE(End to End Encryption)
最近だとあるサイトから盗まれたID/パスワードをベースに他社のサイトを攻撃するリスト攻撃が知られています。
おそらく何らかの形でパスワードは暗号化されたり内部からのリークを防ぐために非可逆のハッシュなどで保管されていたと思いますが、結果から見るに何らかの方法で復元したものであろうことは想像できます。
最近だとGPUなどを使用して解析するツールも出回っており、計算能力が高いため解析も従来考えていた時間よりも早く行えるようになったみたいです。
E2EEではたとえサーバーがクラックされ乗っ取られたとしてもパスワードの漏洩を防ぐことを目的に開発され海外の金融機関では広く使用されているようです。
E2EEを採用することにより少なくてもサーバー側から漏洩するリスクが減るため運営企業としてはパスワード漏洩による賠償などのリスクが低減させることができるようになります。