lccの日記: 某社メールサービス、パスワード保持してる? 5
日記 by
lcc
某社のメールサービス、メールアドレス・パスワード・コメントを登録できるんだけど、
コメントの変更がパスワード欄(省略可)も入力しないとエラーになる。
問い合わせたら、パスワード欄省略時は今のパスワードを再設定しており、基準(8文字以上など)に合致していないとエラーになるとのこと。
パスワードは旧サービスから引き継いだから確かに基準に合致してないが
パスワード変えなきゃコメント変更できないってちょっと酷くね?
コメントは管理者が、パスワードは(普通は)ユーザ本人が設定するものだと思うんだよ。
それに、これ、パスワードハッシュ値じゃなくて元の値持ってるよね?
ハッシュ値だと長さとか判定できないし…
apopとかchapとか (スコア:2)
元が平文じゃないと使えないプロトコルが存在するからねぇ。
ちなみに、ms-chapも置いておくのはハッシュ値だけど、saltもかかってないハッシュ値。
てきとーに予想 (スコア:1)
1. 生パスワードが平文で保存されている
2. 暗号化されて保存されている
3. ハッシュ化されているが、長さなどのメタデータも保持している
Re:てきとーに予想 (スコア:2)
Re:てきとーに予想 (スコア:2)
1. 生パスワードが平文で保存されている
2. 暗号化されて保存されている
メールサービスとのことですが、APOP をサポートするメールサーバは、パスワードを平文もしくは復号可能な形式で保存しておく必要があります。OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に? [security.srad.jp]の、コメント [srad.jp]にもありました。
サーバ側のパスワード保存を、平文でおいておくことがバレると、APOPやCHAPを知らないシッタカさんが騒ぎ出すので、サーバ側をハッシュ化したのかな?
SSL/TLS なしの APOP はもはや使用すべきではありません [ipa.go.jp]が、POP3 over SSL/TLS(995番ポート)は今もなかなか普及したとは言えず、POP3 110番ポートを閉じるのはなかなか難しいです。
やる気になれば (スコア:0)
7文字以下のすべての文字の組み合わせから、ハッシュ値を計算し、付き合わせることで
弱いパスワードを使っている人をあぶり出せます。
そこまで厳密にやらなくても「ありがちなパスワード」から計算できるハッシュ値でチェックするくらいのことはできるでしょう。
たまたま、あなたの旧パスワードがクラックしやすい文字列だった。ということではないですかね?