「パスワード平文保存って何か問題あるんですの？」　ITお嬢様と学ぶハッシュ化

2023/08/19 11 users パスワード平文保存 ITお嬢様 問題

セキュリティガバガバお嬢様が「平文保存」について疑問を抱いています。 続きを読む

何故パスワードをハッシュ化して保存するだけでは駄目なのか？ - NRIネットコムBlog

2023/08/18 407 users 漏洩 事実誤認 NRIネットコムBlog 認証 最初

不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 パスワードのハッシュ化 まず最初にパスワードの保存方法で... 続きを読む

ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita

2023/08/17 898 users Qiita pictBLand pictSQUARE 中略

pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた（中略）パスワードはMD5によるハッシュ化は行われているものの... 続きを読む

OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO

2021/04/27 20 users OWASP DevelopersIO セキュリテ 味付け 平文

パスワードをデータベースに安全に保存するには、ハッシュ関数にArgon2idを用い、味付けにソルト・ペッパーを使いましょう。 ユーザー認証が必要なWebアプリケーションできってもきれないのがパスワードの保存方法です。 平文のままデータベースにパスワードを保存するといったずさんなパスワード管理は重大なセキュリテ... 続きを読む

プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む！――プライバシーフリーク・カフェ（PFC）中編 #イベントレポート #完全版 (1/5

2019/12/02 5 users ＰＦＣ 内定辞退予測 到来 プライバシーフリーク リクナビ事件

ハッシュ化したからOKでしょ？：プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む！――プライバシーフリーク・カフェ（PFC）中編 #イベントレポート #完全版 (1/5) Ad Techが守ってきたルールを、HR Techは軽々と破ってしまったのか――リクナビ事件の問題点を、鈴木正... 続きを読む

Flipboard、データベースへの不正アクセス確認で全ユーザーのパスワードをリセット - ITmedia NEWS

2019/05/29 23 users Flipboard 解読 リセット データベース 氏名

ソーシャル雑誌アプリのFlipboardが、データベースに不正アクセスがあり、ユーザーの氏名やメールアドレスが盗まれた可能性があると発表した。パスワードも盗まれた可能性があるが、ハッシュ化されているため、解読は非常に難しいとしている。 米ソーシャル雑誌アプリのFlipboardは5月28日（現地時間）、過去数カ月にわ... 続きを読む

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた - piyolog

2019/05/22 70 users Suite piyolog アカウント Google ユーザー

2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題（ハッシュ化が行われていなかった）が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。 Googleの発表 cloud.google.com この問題の影響はビジネス向け利用者（G Suite ユーザー）が対象。 無料のGoogle アカウントへ... 続きを読む

「ハッシュ化したから安全」と主張するのをそろそろやめようか | 日経 xTECH（クロステック）

2019/04/02 227 users xTech クロステック 日経

登録会員限定記事　現在はどなたでも閲覧可能です 電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報（IDとパスワード）の漏洩を、外部から指摘されて気付いたと... 続きを読む

なぜ、宅ふぁいる便は「暗号化」していなかったのか (1/3) - ITmedia NEWS

2019/02/21 333 users 宅ふ ITmedia News 暗号化 大阪ガス オージス総研

「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。 大阪ガスの子会社であるオージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正ア... 続きを読む

「Peing-質問箱-」のメールアドレス漏えい、最大149万件 - ITmedia NEWS

2019/01/31 18 users Peing-質問箱 ITmedia News シラフ メー

Twitterなどを通じて匿名で質問できるサービス「Peing-質問箱-」に脆弱性が見つかった問題で、運営会社のジラフは1月31日、最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表した。 流出したPeing内の情報は、トークン、トークンシークレット、Peingに登録されたメー... 続きを読む

「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性 - ねとらぼ

2019/01/31 50 users Peing-質問箱 公式Twitter 漏洩 とらぼ 発表

1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、31日12時40分にサービスを再開しました。運営企業ジラフの発表によると、漏洩（ろうえい）した可能性のある登録情報の最大件数は、ハッシュ化されたパスワードで94万9480件、メールアドレスで149万7967件。公式Twitterは今回見つかった問... 続きを読む

米Dellのネットワークに不正アクセス、ユーザー情報狙われる - ITmedia NEWS

2018/11/30 13 users 米Dell ネットワーク Dell ITmedia News

発表によると、不正な挙動は11月9日に検出された。狙われたのはユーザーの名前、電子メールアドレス、ハッシュ化されたパスワードで、一部の情報がDellのネットワークから持ち出された可能性があるものの、これまでの調査では、盗まれたことを示す確固たる証拠は見つからなかったとしている。 クレジットカード番号など... 続きを読む

Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す | スラド セキュリティ

2018/05/04 27 users スラド Twitter Twitter公式ブログ 内部ログ

minet 曰く、 Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した( Twitter公式ブログの記事 、 ITmedia Newsの記事 )。 Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使... 続きを読む

Twitter、不具合でパスワード変更を呼びかけ - CNET Japan

2018/05/04 11 users Twitter ltr Dir CNET Japan 形跡

Twitterは、ユーザーのパスワードが社内ログにハッシュ化されずに保存されていた不具合が見つかったとして、ユーザー3億3000万人に対し、パスワードの変更を呼びかけている。この不具合は修正済みで、流出や悪用の形跡はないとしているが、予防措置としてパスワードを変更するよう勧めている。 p lang="en" dir="ltr">We recently found a bug that stored... 続きを読む

「ペニスによる生体認証」を導入したアダルトチャットサービス | スラド セキュリティ

2017/07/14 332 users スラド ペニス CNET 生体認証 サーバ

アダルトチャットサービス「CamSoda」が、ユーザーがサイトにログインする際にペニスで生体認証を行うことのできる「Dick-ometrics」を導入した。「ペニス紋」は指紋と同様、生体認証技術を行うための身体的特徴の情報となり得るという（ CNET ）。 CamSodaのサーバに保存されたペニス画像が流出してしまう可能性が危惧されるが、CamSodaによるとペニス画像はハッシュ化され、画像形式で... 続きを読む

“ハッシュ化”行っていないサービスが4割以上、総務省がID・パスワードの管理・運用実態を調査 -INTERNET Watch

2015/07/31 65 users INTERNET Watch 総務省 運用実態 パスワード

ニュース “ハッシュ化”行っていないサービスが4割以上、総務省がID・パスワードの管理・運用実態を調査 （2015/7/31 14:07） 総務省は30日、「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」を発表した。 調査は今年2～3月に実施。28社からの回答を集計した。不正ログイン被害の有無、ID・パスワードの初期設定方法、ユーザーがパスワードに設定できる文字種・桁数、平易なパ... 続きを読む

不正ログイン「受けたことがある」3割、パスワードハッシュ化「していない」4割　総務省のWebサービス企業調査 - ITmedia ニュース

2015/07/31 26 users 総務省 運用実態 被害 パスワード 不正ログイン

不正ログイン「受けたことがある」3割、パスワードハッシュ化「していない」4割　総務省のWebサービス企業調査 総務省がWebサービス企業に対しパスワードの管理・運用実態について調査したところ、約3割が不正ログインの被害を受けており、約4割がパスワードのハッシュ化をしていないという結果だった。 総務省はこのほど、Webサービスを提供する企業のID・パスワード管理・運用実態について調査した結果を発表し... 続きを読む

SHA1でハッシュ化したパスワードは危険になった | yohgaki's blog

2015/04/20 199 users yohgaki's blog SHA1 org パスワード

パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」（ちなみにMD5はもっと危険）とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 # Slashdot.orgにまた載っているので更に高速化できた、と言うことかな?前のエントリhttp://b... 続きを読む

CakePHP2 で、phpass でハッシュ化されたパスワードが保存されたユーザーテーブルを扱えるようにする - ハウテレビジョン開発者ブログ

2014/08/15 7 users CakePHP パスワードハッシュ CakePHP2

2014-08-14 CakePHP2 で、phpass でハッシュ化されたパスワードが保存されたユーザーテーブルを扱えるようにする こんにちは、エンジニアの@soyanaです。 CakePHP では、バージョン 2.4 から passwordhasher という仕組みが導入され、認証オブジェクトがパスワードハッシュの生成とチェックを行うために、新たなパスワードハッシュ化オブジェクトを使うようにな... 続きを読む

NAVERに不正アクセスした人物を特定してデータを削除、LINEが発表 - ITmedia ニュース

2013/08/02 29 users NAVER 人物 Lime line 削除

LIMEは8月2日、NAVERサービスに不正アクセスした人物を特定し、この人物によって流出したデータを削除したと発表した。不正アクセスしたのは国外の人間で、現地警察と連携して特定に至ったという。 NAVERサービスへの不正アクセスは7月19日に発覚したもので、同社はこの時点で169万2496件のユーザーのIDとメールアドレス、ハッシュ化されたパスワードが流出した可能性があることを明らかにしていた。... 続きを読む

NAVERサービスに不正アクセス--アカウント169万件が流出の可能性 - CNET Japan

2013/07/19 8 users 流出 NAVERサービス CNET Japan 不正アクセス

LINEは7月19日、外部からの不正アクセスによって、同社の運営する複数のNAVERサービス（NAVERまとめ、Nドライブ、NAVER Photo Album、pick、cafe）の会員情報が流出した可能性があると発表した。対象となるアカウント数は169万2496件。なお、LINEやlivedoorサービスへの影響はないという。 流出した可能性があるのは、メールアドレスやハッシュ化されたパスワード... 続きを読む

NAVERに不正アクセス　169万件のメアドとハッシュ化されたパスワード流出か - ITmedia ニュース

2013/07/19 29 users NAVER メアド NAV パスワード流出 アクセス

LINEは7月19日、「NAVERまとめ」などNAVERブランドのサービスに外部から不正アクセスがあり、169万2496件のユーザーのIDとメールアドレス、ハッシュ化されたパスワードが流出した可能性があると発表した。対象サービスは18日午後8時に全アカウントのログインを遮断し、一部サービスを停止。19日午後9時に新しいパスワード再設定機能を設置し、サービスを再開する予定だ。 対象は日本国内のNAV... 続きを読む

Evernote に大規模な不正アクセス、全パスワードをリセット対応 - Engadget Japanese

2013/03/03 30 users Evernote Evernot 不正侵入 不正アクセス 一部

Evernote に大規模な不正アクセス、全パスワードをリセット対応 By Ittousai posted 2013年03月03日 08時52分 0 Evernote が組織的な不正侵入らしきアクセスを受け、ユーザー情報の一部が漏洩した可能性があることを発表しました。侵入者からアクセス可能になっていた情報はユーザー名、アカウントメールアドレス、ソルト付きでハッシュ化したパスワード。 Evernot... 続きを読む

取り扱い注意！JavaScriptを使ってMD5ハッシュをクラック「MD5-Password-Cracker.js」|オープンソース・ソフトウェア、ITニュースを毎日紹介するエンジニア、デザイナー向けブログ

2013/01/02 90 users SHA-1 SHA-2 クラック ハッシュ値 エンジニア

MD5-Password-Cracker.jsはJavaScriptを使ってMD5のハッシュ値から元テキストを検索するソフトウェアです。パスワードをハッシュ化して保存しておくのは基本と思われますが、その際によく使われるのがMD5ではないでしょうか。SHA-1/SHA-2のが良いと思うのですが、それをまざまざと知らしめてくれるのがMD5-Password-Cracker.jsです。 パスワードクラッ... 続きを読む

Steamのデータベースがハック、個人情報流出の恐れ - Game*Spark

2011/11/11 23 users Game*Spark Valve Steam バック ハッカー

今週はじめSteam公式フォーラムがハックされたとのニュースをお伝えしましたが、ハッキングの被害はフォーラムユーザーだけでなく、全Steamユーザーに及び、クレジットカード含む個人情報流出の恐れがあることが新たなValveの調べにより明らかになりました。 Valve代表Gabe Newell氏の声明によると、ハッカーが侵入したSteamのデータベースには、「ユーザーの氏名」、「ハッシュ化、ソルト処... 続きを読む