YahooIDパスワードが大量流出して不正ログインが発生している件について @masason
↑ヤフーのIDとパスワードが漏れたんじゃないか、という騒ぎが発生しているようです。僕も自分のアカウントのログイン履歴を確かめてみましたが、いまのところ被害はありません。
この流出騒動、マジなんでしょうか? マジだとしたら驚愕です。流出したことそのものよりも、「ヤフーがパスワードを生のまま保存してた」ってことに恐怖です。まだ真偽のほどはわかりませんが、「犯人が一発でログインに成功していた」という書き込みもありますので、もしそれが本当ならば、これはブルートフォース・アタックなどではなく、生パスワードを知っていないと出来ない芸当です。
Webシステムの開発者なら常識だと思いますが、まともなシステムであれば、「パスワードが漏れる」という事態は絶対に起こりえません。なぜならば、生パスワードはデータベースに保存せず、ハッシュだけを保存するのが当然だから。これなら、仮にデータベースの中身が流出しても、パスワードは流出しません。そもそもパスワードを保存してないんだから、漏れようが無いのです。ハッシュは暗号とは違って、復号化できないから安全なのです。
パスワードのハッシュ化について技術的に詳しく知りたい方は →
これからの「パスワード」の話をしよう
パスワードの危機(その2) − あるべき姿
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う
パスワードをハッシュ化していないサイトの実例
もしヤフーが生パスワードを保存していたとしたら、流出云々以前にそのこと自体が問題。
生パスワードのまま保存するなんて、Webシステムについてのド素人か、あるいは何らかの意図を持ったヤツじゃないとやるはずがない。
コメント