ヤフーのID・パスワードが流出!?

YahooIDパスワードが大量流出して不正ログインが発生している件について @masason

↑ヤフーのIDとパスワードが漏れたんじゃないか、という騒ぎが発生しているようです。僕も自分のアカウントのログイン履歴を確かめてみましたが、いまのところ被害はありません。

この流出騒動、マジなんでしょうか? マジだとしたら驚愕です。流出したことそのものよりも、「ヤフーがパスワードを生のまま保存してた」ってことに恐怖です。まだ真偽のほどはわかりませんが、「犯人が一発でログインに成功していた」という書き込みもありますので、もしそれが本当ならば、これはブルートフォース・アタックなどではなく、生パスワードを知っていないと出来ない芸当です。

Webシステムの開発者なら常識だと思いますが、まともなシステムであれば、「パスワードが漏れる」という事態は絶対に起こりえません。なぜならば、生パスワードはデータベースに保存せず、ハッシュだけを保存するのが当然だから。これなら、仮にデータベースの中身が流出しても、パスワードは流出しません。そもそもパスワードを保存してないんだから、漏れようが無いのです。ハッシュは暗号とは違って、復号化できないから安全なのです。

パスワードのハッシュ化について技術的に詳しく知りたい方は → 
これからの「パスワード」の話をしよう
パスワードの危機(その2) − あるべき姿
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う
パスワードをハッシュ化していないサイトの実例

 

もしヤフーが生パスワードを保存していたとしたら、流出云々以前にそのこと自体が問題。

生パスワードのまま保存するなんて、Webシステムについてのド素人か、あるいは何らかの意図を持ったヤツじゃないとやるはずがない。

コメント

タイトルとURLをコピーしました