何故パスワードをハッシュ化して保存するだけでは駄目なのか？ - NRIネットコムBlog

2023/08/18 407 users 漏洩 事実誤認 NRIネットコムBlog 認証 最初

不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 パスワードのハッシュ化 まず最初にパスワードの保存方法で... 続きを読む

ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita

2023/08/17 898 users Qiita pictBLand pictSQUARE 中略

pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた（中略）パスワードはMD5によるハッシュ化は行われているものの... 続きを読む

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた - piyolog

2019/05/22 70 users Suite piyolog アカウント Google ユーザー

2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題（ハッシュ化が行われていなかった）が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。 Googleの発表 cloud.google.com この問題の影響はビジネス向け利用者（G Suite ユーザー）が対象。 無料のGoogle アカウントへ... 続きを読む

「ハッシュ化したから安全」と主張するのをそろそろやめようか | 日経 xTECH（クロステック）

2019/04/02 227 users xTech クロステック 日経

登録会員限定記事　現在はどなたでも閲覧可能です 電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報（IDとパスワード）の漏洩を、外部から指摘されて気付いたと... 続きを読む

なぜ、宅ふぁいる便は「暗号化」していなかったのか (1/3) - ITmedia NEWS

2019/02/21 333 users 宅ふ ITmedia News 暗号化 大阪ガス オージス総研

「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。 大阪ガスの子会社であるオージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正ア... 続きを読む

「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性 - ねとらぼ

2019/01/31 50 users Peing-質問箱 公式Twitter 漏洩 とらぼ 発表

1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、31日12時40分にサービスを再開しました。運営企業ジラフの発表によると、漏洩（ろうえい）した可能性のある登録情報の最大件数は、ハッシュ化されたパスワードで94万9480件、メールアドレスで149万7967件。公式Twitterは今回見つかった問... 続きを読む

「ペニスによる生体認証」を導入したアダルトチャットサービス | スラド セキュリティ

2017/07/14 332 users スラド ペニス CNET 生体認証 サーバ

アダルトチャットサービス「CamSoda」が、ユーザーがサイトにログインする際にペニスで生体認証を行うことのできる「Dick-ometrics」を導入した。「ペニス紋」は指紋と同様、生体認証技術を行うための身体的特徴の情報となり得るという（ CNET ）。 CamSodaのサーバに保存されたペニス画像が流出してしまう可能性が危惧されるが、CamSodaによるとペニス画像はハッシュ化され、画像形式で... 続きを読む

“ハッシュ化”行っていないサービスが4割以上、総務省がID・パスワードの管理・運用実態を調査 -INTERNET Watch

2015/07/31 65 users INTERNET Watch 総務省 運用実態 パスワード

ニュース “ハッシュ化”行っていないサービスが4割以上、総務省がID・パスワードの管理・運用実態を調査 （2015/7/31 14:07） 総務省は30日、「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」を発表した。 調査は今年2～3月に実施。28社からの回答を集計した。不正ログイン被害の有無、ID・パスワードの初期設定方法、ユーザーがパスワードに設定できる文字種・桁数、平易なパ... 続きを読む

SHA1でハッシュ化したパスワードは危険になった | yohgaki's blog

2015/04/20 199 users yohgaki's blog SHA1 org パスワード

パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」（ちなみにMD5はもっと危険）とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 # Slashdot.orgにまた載っているので更に高速化できた、と言うことかな?前のエントリhttp://b... 続きを読む

取り扱い注意！JavaScriptを使ってMD5ハッシュをクラック「MD5-Password-Cracker.js」|オープンソース・ソフトウェア、ITニュースを毎日紹介するエンジニア、デザイナー向けブログ

2013/01/02 90 users SHA-1 SHA-2 クラック ハッシュ値 エンジニア

MD5-Password-Cracker.jsはJavaScriptを使ってMD5のハッシュ値から元テキストを検索するソフトウェアです。パスワードをハッシュ化して保存しておくのは基本と思われますが、その際によく使われるのがMD5ではないでしょうか。SHA-1/SHA-2のが良いと思うのですが、それをまざまざと知らしめてくれるのがMD5-Password-Cracker.jsです。 パスワードクラッ... 続きを読む

パスワードをハッシュ化（暗号化）保存することを法律で義務化するくらいのことが必要だと思う

2008/10/01 208 users 法律 パスワード 義務化 暗号化

Web屋のネタ帳 Ｗｅｂビジネスに必要な「戦略」「システム」「デザイン」の３要素とそれらをまとめる「マネジメント」について現場の実感と独自の観点でお送りするコラム・・・のはずなんですが、要するにＷｅｂがらみのシステム＆デザイン業界に関する小ネタとツッコミの雑記です。 大げさだろうか。でも大げさとは思えないくらい、今の状況はおかしい。 おかしいという意識がWeb屋にもマスコミにも行政監督者にも無いと... 続きを読む