質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.49%
パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

意見交換

クローズ

6回答

661閲覧

パスワードの平文保存についてどう思いますか

manogyabyo

総合スコア0

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

0グッド

1クリップ

投稿2023/08/16 14:11

0

1

テーマ、知りたいこと

https://www3.nhk.or.jp/news/html/20230816/k10014164881000.html

pictBLand等、数々のサービスを運営している会社がユーザーのパスワードを平文保存していたことがわかりました。
これについてどう思いますか?
やはりパスワードを平文保存しなければならない現場や平文保存しているサービスは多いのでしょうか?

背景、状況

名古屋市の会社「GMW」は、自社が運営するSNSの「pictBLand」とオンライン即売会サービス「pictSQUARE」のデータベースに不正アクセスがあったと発表しました。
この結果、ユーザーのメールアドレスやパスワード、口座情報や住所などが漏えいしたおそれがあるということです。会社はユーザーに対し、パスワードの変更や不審なメールには気をつけるよう呼びかけています。また、警察などとも連携して事態の収束に努めているとコメントしています。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

回答6

#1

otn

総合スコア84463

投稿2023/08/16 14:27

ゆうちょダイレクトのパスワードを忘れたという手続きをすると、設定したパスワードが紙に印刷されて郵送されてきました。10年以上前の経験だったと思うので、さすがに改善されてるだろうと思って見ると、

https://faq.jp-bank.japanpost.jp/faq_detail.html?id=23

ご登録のログインパスワードを貯金事務センターから郵送。

と書いてますね。

マスコミ報道の場合、「パスワード」と「ハッシュ化されたパスワード」の区別が付いていない可能性もありますが。

平文で保存しているとすると、偉い人の思いつき「忘れた人には教えなきゃ駄目だろ」に反論できない弱いシステム担当と言うことなのでしょうかね。もし、それが理由だとすると、他にも色々問題がありそうです。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

#2

maisumakun

総合スコア145177

投稿2023/08/17 00:12

編集2023/08/17 04:28

ユーザーのパスワードを平文保存していたことがわかりました。

正確なソースは辿れなかったのですが、当該サービスのパスワードは生ではなく、MD5ハッシュとして保存されていたようです。

ただし、ソルトがなかったのでレインボーテーブルなどの表引きが可能であり、比較的解読は容易だったとのことです。


(追記)

「質問内容に関係のない回答」という指摘を受けましたが、質問の前提が正しくないという指摘としての回答です。意見交換形式では修正依頼の自由記載欄がないので、回答側に書くより他に手段もありません。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

#3

d01si13293

総合スコア7

投稿2023/08/17 02:09

編集2023/08/17 04:51

やはりパスワードを平文保存しなければならない現場や平文保存しているサービスは多いのでしょうか?

そりゃだってさあ
質の低いサービスを提供してるとこは多いよ
スクールでセキュリティーとか教えないし
プロフェッショナルの誇りを持って仕事する人はウザがられて追い出されるか給料いいところの管理職に転職して中抜きで生活始めるし
結果プロとは名ばかりのコピペ職人が副業で作業してるのにどうして理想を求めるの?

このサイトだって技術者集団が作ってるはずなのに酷いもんでしょ


追記
質問内容に関係ないという修正依頼が届きましたが、質問にはちゃんと答えているので、何が関係ないと思ってしまったのか言葉で書こうよ

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

#4

d01si13293

総合スコア7

投稿2023/08/17 03:24

本当のことを書いたらスパムって修正依頼がきたw
このまま削除されて凍結されるんだろうなw

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

#5

ikedas

総合スコア4294

投稿2023/08/17 05:15

編集2023/08/17 08:10

事実関係のみ。

「パスワードを平文保存していたことがわかった」という事実は確認できませんでした。某SNSで「パスワードハッシュって書いてないから平文のパスワードってことだよな」(大意) とか独自解釈している投稿は見かけましたが。

BreachForumsという掲示板サイトで、窃取したデータと思われるものの取引をもちかける投稿がなされ、その中で「ソルトのないMD5ハッシュ」を全体の半分は解読できたと主張しています。

ちなみに、いまはもう販売してないそうです。

ソルトはレインボーテーブル攻撃に対する耐性を持たせるものですから、あったほうがいいです。ですがそもそもMD5は少ない空間計算量 (メモリ) と時間計算量 (計算時間) でハッシュを計算できるアルゴリズムです (提案された当時はそのことがよいことだと考えられていました) ので、総当たり攻撃には弱いです。計算機の性能が上がっている現代では適切な一方向ハッシュアルゴリズムではないです。

なので、上記の投稿主が持っているデータが本当に問題のサービスのユーザ情報であり、彼/彼女が言うようにMD5ハッシュを使っているのなら、比較的短い期間ですべてのパスワードが判明してしまうと考えられます。

質問への答えでなくてすみません。意見交換は質問にコメントがつけられませんので、質問の前提について指摘するにも回答欄で行うしかありません。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

#6

a.com

総合スコア871

投稿2023/08/17 05:30

やはりパスワードを平文保存しなければならない現場や平文保存しているサービスは多いのでしょうか?

結構有ると思います。実際そのようなサービスの仕事もしたこともあります。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

最新の回答から1ヶ月経過したため この意見交換はクローズされました

意見をやりとりしたい話題がある場合は質問してみましょう!

質問する

関連した質問