パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった」記事へのコメント

  • by Anonymous Coward

    この件と直接関係はないと思うけど、昔はパスワードハッシュへの理解って低かったよね。昔々の2chに「パワハラしたらエンジニアが辞めちゃって、顧客から顧客情報の問い合わせがあって、問い詰めたけど暗号化を解除する方法をどうしても吐かない、解読不可能だと嘘をついている。誰か手伝ってくれ」って大意の質問があったなあ。

    スレ住民がエスパーしてその「顧客情報」はパスワードのことで、「解読不可能な暗号」はハッシュ化のことで、つまり解読は不可能だけどする必要もなく、単に古いパスワードを消して再登録させればいいんだ、新しいエンジニアを探してそう依頼しろとこんこんと説明して何とか納得させてた覚えがある。

    それで納得しない人がいると、では平文保存、となっちゃうのかなあ。

    • by Anonymous Coward on 2019年01月30日 20時30分 (#3557120)

      以前にもスラドでどこかの時に書きましたが
      偉い人が「コールセンターがパスワードを回答出来ないとはサービスレベルが低い」とハッシュ保存を嫌がる場合が多々あるのですよ
      DBでは暗号化までは許すがCRMのGUI側では簡単に復号され確認できるようにしろとか・・・
      後は顧客分析に必要だから手軽に個人情報付きで顧客情報ダウンロードさせろとか
      部下が進言したところで「お前の常識だろ」と聞きやしない、外部のコンサルから言われても「ビジネスにリスクは付き物だ」とか
      「何でお前たちは漏れる事前提で話すんだ、漏れるシステムが悪いんだろ」とか

      親コメント
      • そもそも暗号化自体が「のぞき見られた状況を想定している」って事を理解していない人が多い。
        暗号化しなければいけないとか言われているからしてる、ってレベルの人たち。

        自組織がそんな感じだったら、さっさと言われたとおりに設計実装して、保守フェイズが始まる頃には
        退職できる段取りを整えておいた方がよさげ。

        親コメント
      • by Anonymous Coward

        これについては、今回このように巨大な他山の石というか、聳え立つ糞の山が建立されたので、その手の輩に対して前より説得は楽そう。

        被害に遭った人には悪いけど……

        • by Anonymous Coward

          外部のコンサルから言われても「ビジネスにリスクは付き物だ」とか

          結局これが発動するから科学的なビジネスをやってないうちは何があってもダメなんじゃないの

      • by Anonymous Coward

        そういう強い動機があるのならパスワード復元できるシステムでも全然構わないと俺は思うんだけどね。むしろ

        後は顧客分析に必要だから手軽に個人情報付きで顧客情報ダウンロードさせろとか

        真剣な警戒が必要なのはこっちだと思う。

        • by hjmhjm (39921) on 2019年02月01日 13時23分 (#3558096)

          後者はおまけに、開発者の方も気軽にCSVエクスポート機能とか追加しちゃいそうやしなあ。

          親コメント
        • by Anonymous Coward

          個人情報もログインパスワードで暗号化してログイン中のみ使えるようにする。
          くらいはやってほしいですね。
          権限のある者に悪意があると抜き取り放題になってしまう。

身近な人の偉大さは半減する -- あるアレゲ人

処理中...