TOP > IT・テクノロジー > 日経xTECH > 宅ふぁいる便の平...

宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

23コメント 登録日時:2019-02-14 07:08 | 日経xTECHキャッシュ

 大阪ガス100%子会社のオージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」のサービス停止が続いている。480万件のメールアドレスとパスワードが漏洩したこの事件はWebサービスの提供者にとって対岸の火事ではない。...

Twitterのコメント(23)

オージス総研は
1月26日に公表した
「ご質問一覧」で、

パスワードを暗号化していなかった
と明かした。

パスワードを平文で保存している
Webサービスは
かなりの数に上るだろう。

宅ふぁいる便の
情報漏洩事件は
対岸の火事ではない。
1999年に提供を始めたってあるから改修していないならあるなー
問題が起こってからじゃないと対策が進まないのは仕方ないけどこれを機に対岸の火事と思わずなんとかしていって欲しい
自分も20年くらい前に携わったサービスでは平文で保存してたけど(まだCSRFとか言われる前)、あれもしかしてまだそのまま稼働してないだろな…
もうパスワード平文保存は発覚したら罰金を取るようにすべきやろ‥
「パスワードを平文で保存しているWebサービスはかなりの数に上るだろう。宅ふぁいる便の情報漏洩事件は対岸の火事ではない」
おおこわ。
結局、古いシステムをパスワード暗号化対応の変更するのはリスクしか見えずインセンティブないから放置してたんだろう。例えば客先システムで暗号化対応しようとか言っても予算つかないじゃん。 /
総務省が2015年に実施した『ウェブサービスに関するID・パスワードの管理・運用実態調査』では、回答した28社のうち(中略)『暗号化、ハッシュ化のいずれも実施していない』と回答したのは4社だった。
平文パスワード保存とかやってるシステムだし、rootもDBも同じパスワードでモニタに附箋で貼ってました(テヘペロ とか発表しそう。 /
一体どこの現実歪曲空間だよと。今2019年だよ。昔から常識だと思うのだけど。。 /
フレームワークなんか無いし、jsはおろかセッションの仕組みからフルスクラッチしてたぞ。
なんでオージス総研が持っているのかと思ったら、そういう経緯があるのね。
「パスワードを平文で保存しているWebサービスはかなりの数に上るだろう。宅ふぁいる便の情報漏洩事件は対岸の火事ではない」
本当にこんな発言が有ったのだろうか。2011年時点というか、その前から、平文では保存しないのが常識なんだが。> 2011年にWebセキュリティーの書籍をまとめた際には「パスワードの保管方法のお手本は確立されていなかった
ウェブ開発している人間なら一度は目を通しておいたほうが良い記事。

いまだに平分でパスワード扱ってるサービスも少なくはないって
考えただけでも怖い。
日本はコードを1行も書けない人間が画面仕様を決めてることがあるからなぁ。技術音痴の顧客からサポート画面で生パスワード閲覧出来るよう要求されたこともあったし。前世紀の話ともなると…→
世の殆どのOSはパスワードによるユーザ認証を実装してるが、平文保存してない。/etc/passwdを知る技術者はその実装法も理解してる。なのにその常識がWebに波及しなかったのはなぜか。結局技術者教育の問題なのかと悩む。 / "宅ふぁいる便の平文パスワード大量流出事件、変…"
インターネット上のサービスでハッシュ化もしてないとかマジかよ…うちの会社のイントラシステムですらソルト付でハッシュ化しとるぞ…
まだ原因調査終わってないのか・・・サービスとして商売上は終わってしまうかもって考えてしまう /
パスワードハッシュ化について。ソルトとストレッチングについてもわかり易く説明。2000年代前半にはもうこのやり方が常識だった。 /
"パスワードを平文保存してきたWebサービスはどう対応すればよいのか。徳丸社長は「(解読を難しくするための)『ソルト』付きでパスワードをハッシュ化するのが望ましい」と話す"
取材を受けた記事が公開されましたのでよろしければご覧ください /
以上

記事本文: 宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

関連記事