パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる」記事へのコメント

  • by Anonymous Coward

    これ、Web参照は停止しているってあるけど根本の
    DB側に不可逆なハッシュではなくて生パスワードもしくは可逆的なハッシュで保存されているって事だよね。
    どこの素人が設計した?そしてその問題は解決してないんだろうな。

    • by Anonymous Coward

      いつも思っちゃうけど別にそんなパスワードばっかり守る必要なくね?
      正直ハッシュ化して欲しいのは他の情報の方なんだけど(笑え)

      • by Anonymous Coward

        たとえば何の情報をハッシュ化してほしいのかな?

        • by Anonymous Coward

          たとえば何の情報をハッシュ化してほしいのかな?

          真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

          #なんで年に2回も漏洩事件にぶち当たるかなー

          • 真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

            そもそもクレジットカード番号は保存してはいけない。

            • by Anonymous Coward on 2017年04月15日 0時14分 (#3193950)

              真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

              そもそもクレジットカード番号は保存してはいけない。

              PCIDSS3.0(最新は3.2だけど、英語嫌いだから勘弁してくれw)によると、

              PCIDSS 要件3: 保存されるカード会員データを保護する
              3.4 以下の手法を利用して、すべての保存場所でPANを少なくとも読み取り不能とする
              ・強力な暗号化をベースにしたワンウェイハッシュ
              ・トランケーション
              ・インデックストークンとパッド
              ・関連するキー管理プロセスおよび手順を伴う、強力な暗号化

              なので、しっかり管理された暗号化(オレオレ暗号化じゃダメ)であれば不可能
              というわけではない。(誰でもダウンロードできるから詳細は原典をあたってくだされ)

              ・・・けど、絶対必要というわけでもないのに保管するのはリスクを増やす
              だけ・・・ってのはやってる当事者には理解できないんだろうなぁ・・・。
              これだけ事故が起こるってことは。

              親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...