パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

税務署が同姓同名の別人にe-Taxの識別番号と暗証番号を教えてしまう事案」記事へのコメント

  • 税務署の過失は免れないだろう

    • by Anonymous Coward

      どう確認したとしてもパスワードは教えちゃいかんでしょ

      • by Anonymous Coward

        教えるどころか復号可能な時点でセキュリティ上は大問題ですよ・・
        (Salt値付きでハッシュ化して格納、が最低ライン)

        • セキュリティ関係の情報はググると古い情報ばっかりでてきますが、知識をアップデートした方がいいですよ。

          何故「Salt値付きでハッシュ化して格納」する必要があるんですか?
          パスワードの使いまわしが常識だった頃は漏洩したら他のサービスも悪用されるのでその必要がありましたけど、自動生成したパスワードをパスワードマネージャーに保存するのが今の正しいパスワードの管理法ですので、そんな必要ありませんよ。
          高木浩光先生(https://twitter.com/HiromitsuTakagi/status/1503936415582752768)もそういってますね。
          Cookieのログイントークンをデータベース

          • いまどき、ログイン処理やパスワード等の記録はフレームワークが提供する機能で実現し、その機能を使えば、ハッシュ化やsaltは自動的に行われます。
            にもかかわらず、復元可能であるという情報が得られたという事は

            1. フレームワークの機能を使わず独自に実装した(脆弱性を埋め込んだ可能性)
            2. そして情報漏洩事故が起き、パスワードを漏洩し、復元可能という情報が得られた(パスワードだけでなく、ほかの重要な情報。あなたの言うパスワードなんかより重要で漏洩しちゃいけない情報も漏らした可能性)

            という疑念を生み、セキュリティ的に安全ではないサービスを提供していると思われるリスクがあります。

            システムが古く、平文で保存するのが当たり前だったころに作られたものかもしれません。
            しかし、その場合はハッシュ化が当然という時代にも平文保存を続けていたということになり
            「セキュリティ関係の情報アップデートができていない」という疑念を生みます。
            そしてパスワードを漏洩したという事実はその疑念が確信に変わる理由としてもっともらしいでしょう。

            親コメント

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...