馬鹿か馬鹿でないかの見分け方。

『DBに格納されているWeb認証用のパスワードを暗号化したい』という要件を聞いて、

『うんそれはいいね！ハッシュ化しよう』と思う人。　←ＯＫ。
『うんそれはいいね！共通鍵で暗号化しよう』と思う人。　←馬鹿。
『うんそれはいいね！公開鍵で暗号化しよう』と思う人。　←大馬鹿。

あれ？普通逆じゃない？

と思うだろう。

普通は逆だと思う。SIerの常識からすれば。

なんたって、工数が稼げるし、もしかしたら暗号化パッケージを導入させて
ウマウマできるかもしれないからだ。

でもね、別にパスワードが復号化できる必要なんかないんだ。
今ブラウザから渡ってきたパスワードが、
登録時に入力されたパスワードと同じである事が確認できさえすればいい。

そういった本質的なことを考えずに、
暗号化＝共通鍵暗号とか
暗号化＝公開鍵暗号化とか
そういった表面的な字面にとらわれてしまうSEが『本当に』馬鹿なんじゃないの？

普段使ってるwebサービスの認証がどうなってるか位は知っておいて欲しい。