【PHPで認証】パスワードの暗号化は無意味では？？

ＰＨＰにて会員専用ページを作りたいと考えているものです。
パスワードは暗号化すれば安全…と思っていました。しかしよく考えると暗号化されたパスワードをハッカーが盗んで自分のＰＣのCookieに入れたらなりすましが可能ではないのか？ということに気づきました。正規のユーザーもログイン後は暗号化パスワードをサーバーに渡してページごとに認証しているわけですから。
パスワードの暗号化は本当に意味があるのでしょうか？
暗号化されたパスワードは盗まれても問題ないのでしょうか？
お詳しい方、よろしくお願いいたします。

No.2 ベストアンサー 回答者： galluda 回答日時： 2008/07/29 09:51

がると申します。

…とりあえず。
「暗号化されたパスワードをハッカーが盗んで自分のＰＣのCookieに入れたらなりすましが可能ではないのか？」
無理です。というか「暗号化したパスワードをCookieに入れるような実装」は、その時点でNGです。
多分、そのあたりから調べなおしをされるとよいと思います。

この回答への補足

自分のＰＣのCookieに入れたら　←　そうなんですか。不可能なんですか。安心しました。
「暗号化したパスワードをCookieに入れる」は割と一般的に行われている手法のような気がしていました。
ヤフーあたりも（http://my.yahoo.co.jp/）Cookieに暗号化したユーザー名とパスワードを入れて自動ログインを実現しているように見えますし…

ありがとうございました。

補足日時：2008/07/31 01:13

No.3 回答者： galluda 回答日時： 2008/07/31 01:42

がるです。

確認をしたわけではないのですが。もし
＞＞
「暗号化したパスワードをCookieに入れる」は割と一般的に行われている手法のような気がしていました。
ヤフーあたりも（​http://my.yahoo.co.jp/​）Cookieに暗号化したユーザー名とパスワードを入れて自動ログインを実現しているように見えますし…
＜＜
がtrueだとすると、恐ろしく脆弱性の度合いの高い、危険な設計であるといえます。
通常、こういった「セッションの維持」には、
・セッションIDと呼ばれる、ユーザIDとはまったく無関係な文字列を用意して
・セッションIDを暗号化、適宜入れ替えたりしながら使う
のが通例なので(それでもセッションIDの寿命次第では、セッションハイジャックなどの危険性を孕むので)。

まぁこのあたりは「有名どころがやっているやっていない」ではなくて「理論的にセキュアであるアンセキュアである」で発想されたほうがよいように思われます。

この回答への補足

ありがとうございます。
セキュリティの専門書を買って勉強してみます。

補足日時：2008/08/13 22:44

No.1 回答者： rabbit_cat 回答日時： 2008/07/29 02:21

普通、ページごとの認証は、暗号化パスワードではなくてセッションＩＤでやるのでは？