パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ドコモとソフトバンクに平文パスワード提示機能が存在。セキュリティ上の懸念が指摘される」記事へのコメント

  • by Anonymous Coward on 2022年03月18日 12時29分 (#4217858)

    別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ

    平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて
    本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけど
    HSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし

    • by nim (10479) on 2022年03月18日 14時52分 (#4217962)

      平文パスワード利用者に送信するほど、標準的なセキュリティ対策の
      お作法を気にしないシステムが、HSM をちゃんと導入・利用できてるとは
      にわかに想像し難いのですが。

      結局HSMを使っていても、バックアップリカバリ用に鍵を外部で生成してインポートする
      運用にしていて、その外部で生成した鍵データが開発者のPC内に残ってるとかしそう。

      親コメント
    • by Anonymous Coward

      平文パスワードを提示可能(=復号可能)な暗号化ではダメ

      • by Anonymous Coward

        なんでだめなの?
        暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?
        流出後一定期間生パスワードが保護できればいいんだけど・・・
        もしかしてハッシュ化していれば生パスワードはばれないって思ってる?
        別に総当たりでいつかばれることは変わらないよ?

        最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど
        複合化出来るからダメ!って何が問題なのか全くわからん
        暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス

        • by Anonymous Coward on 2022年03月18日 14時14分 (#4217922)

          複合警察と復号化警察が来たぞー

          ○復号
          ×復号化
          ×複合
          ××複合化

          「平文」(名詞)を、「暗号化」(動詞、encryptの訳語)したら「暗号」(名詞)になる。暗号にするから暗号化。
          「暗号」(名詞)を、「復号」(動詞、decryptの訳語)したら、「平文」(名詞)になる。復号にするわけじゃないから「復号化」じゃない。

          複合はcomplex。同音異義語で全然意味が違う。
          暗号の複合とかプリント基盤とか書かれた文章は
          その内容の信憑性を一段低くみてしまいます。複合化なら二段低い。

          親コメント
          • by Anonymous Coward

            「復号化」ならだましも、復号と複合の誤用をしている人の御託は一切信用できんわな。
            そういう一見小さいところの見落としや「通じるからいいじゃん」的な思考はそれこそセキュリティの穴の元。

        • by Anonymous Coward

          ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる

          • by Anonymous Coward

            論旨にはあまり関係ないだろうけど勝手に補足すると、それはソルト付きハッシュの場合だね。

          • by Anonymous Coward

            漏れてる時点で大して変わらんが・・・
            一個でも漏れたら「その一個が複合化されるまでの時間」が強度の評価時間であって
            一個解けても「次が解けるまで時間かかるから大丈夫」はハッシュ関数の強度の選択事由になりません

    • by Anonymous Coward

      ドコモ側で復号できるってことは、その復号鍵をどこかに持っているわけで。暗号化パスワードが復号鍵とセットで流出したら平文と同じですよ。

      • by Anonymous Coward

        対ダンパ性とか知らないのであればあの語らないでください
        HSMがなんなのかも分かってなさそうなので・・・

        • by Anonymous Coward

          対ダンパ性www タンパだよ、Tamper
          技術者気取りの素人が自分の思い込みを上から目線で叩きつけ合うひどいサイトですねここは
          そもそもドコモはHSM使ってるなんて言ってないし仮に使っててもHSMごと盗まれるリスクがあるんですがそれは

          • by Anonymous Coward

            耐はめんどくさけどダンパだっけタンパだっけってなって適当に書いたわすまんな
            後俺は元ACとは別だよ

            HSM毎盗まれるってそこまでいって盗まれるならハッシュ化されてようと実装から全部ぶっこ抜かれるんだから
            バックドアしかけてロギングして抜けば良いんだから何の意味があるの?
            その想定においてはハッシュ化も意味がないんだけどどうして意味がないのをもってくるの?

            筐体への物理アクセスを許すセキュリティと流出時に生パスワードがばれるまでの時間のためにハッシュ化は別な次元でしょ?

            • by Anonymous Coward

              要は「物理的にアクセスできるなら何でもやり放題だろ」って言いたいんだと思うけど、現実はそうじゃない
              バックドア仕掛けるにはそれはそれで別方向のセキュリティの穴が必要
              暗号化パスワードってよく廃棄サーバから流出したりする(Adobeの件がそうだった)んで、そうなると「暗号化パスワードとHSMは手に入ったけど、バックドアまでは仕掛けられない」という状況が生まれる
              ハッシュ化の方が暗号化より安全であることは様々な専門家の支持を得ている標準的な考え方なので、ハッシュ化に意味がない論はかなり苦しい
              100歩譲っても安全性が「ハッシュ化≧暗号化」であることには変わりない

              • by Anonymous Coward

                侵入可能回数が1の場合は層だけど
                1+nなのであれば別にそこにロギングいくらでも仕込んで回収すりゃ良いだけなので・・・
                物理アクセス可能なら何でも出来るんだからそれを防ぐのは「別なレイヤのセキュリティ」だっていってんだろ

                HSMが手に入った所で再始動には複数人なりのパスワードが必要とか二要素認証がないと
                盗まれたと判断して持って居る鍵情報は抹消されるんだけどHSMそのまま盗めば使えると思ってるの?

                ついでにいうとHSM何かの暗号化ソリューションはソルト化でランダム文字列を付加する仕様にも出来るよ?

                っていうか貴方は1passwordとか使わないの?
                そこにパスワード保存されていて暗号化されてるよね?なんでそれはいいと思うの?
                それとも使わないで覚えてるの?

                暗号化でもハッシュ化でも別に条件次第ではどちらでもよろしい

              • by Anonymous Coward

                ローカルで管理する限りにおいて、漏洩の責任は自分にあるからだね。
                漏洩したくなければ自分が頑張ればいい。どこまで頑張るかも自分で決められる。
                ついでに、パスワード管理ツールに記録するのはヒントレベルでもかまわないが
                サービス側は認証に使用できる完全なデータを保存することが望まれる。当たり前だけどね。

              • by Anonymous Coward

                1passwordってクラウド側に暗号化データで保存してるから
                端末間で同期できるんだけど一体何をいってるんです?
                買切り版はないけどサブスク版は同期できるよね?なんでそれはいいの?

              • by Anonymous Coward

                仮定に仮定を重ねすぎ。無理擁護が過ぎる。
                ドコモがHSMモジュール使って複数人なりのパスワードが必要で鍵情報の抹消が徹底されていてソルト化でランダム文字列を付加する仕様だという証拠を持ってきてから言ってくれ。

              • by Anonymous Coward

                1passwordとか

                ローカルで管理する限りにおいて

                どこまで頑張るかも自分で決められる。

                パスワード管理ツールに記録するのはヒントレベルでもかまわない

                文章をきちんと読んでから反論しようね。

        • by Anonymous Coward

          ダンパー【damper】

          1 振動エネルギーを消散させて衝撃または振動の振幅を軽減する装置。自動車・鉄道車両などに使用。制振器。吸振器。

          2 ピアノ・チェンバロなどで、弦の振動を止める装置。

          ダンパーの意味や定義 Weblio辞書 [weblio.jp]

        • by Anonymous Coward

          これは恥ずかしい
          コメントを額縁に入れて飾ってあげたいレベル
          濁点を付ける方向でのtypoはあり得ないから間違って覚えてたんやろなぁ

    • by Anonymous Coward

      「別なパスワードを知っていて本人が持って居ると思われるスマホに対して送るなら」、「HSM使ってるんなら」みたいな前提が崩れることを想像できない時点で君はセキュリティの仕事に向いてない。

      • by Anonymous Coward

        前提が崩れることじゃなくってそう言う持ち方してるなら別に暗号化で保存してても問題ないよっていってるんだけど

        何勝手に話し膨らませて訳の分からないこと言ってるの?
        なんでドコモならっていってるのに前提がとか他社にまで適応するみたいな思考になってんだ

        ハッシュ化しているからOK、暗号化だからNGがそれは問題の本質ではないよ
        流出した場合に解析されるまでの時間とかそう言う物が評価指標でしかない

        向いてる向いてない以前にお前は何を言ってるんだ?
        妄想で語るならそもそも君IT業にすら向いて無くって小説家にでもなったほうがいいよ

        • by Anonymous Coward

          自分の説明能力のなさを棚に上げて後付けの言い訳を長々と垂れ流す時点で君はコミュニケーションに向いていない。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...