「平文保存ではない可能性もある」って、一方通行のハッシュ値ではなく復号可能な形で保存してたら根本的なヤバさは変わらん……
“※平文保存ではない可能性もある”
20桁のパスワードを15桁に切り詰めればログインできるとか平文保存か可逆暗号確定だろ。金融機関のシステムとしてセキュリティのガバガバさ加減がホラーすぎる
iDecoのページにログイン…ってどこの証券会社?それがわからんと対策のしようがない。 / クレジットカードでいうところの「Visaで払った」くらい、責任の所在がよくわからないやつ。
問い合わせをして「パスワードは〇〇です」と返って来るまでは、15文字にカットして登録されているのか分からないやつ。後から仕様変更ならとても危ない
削るという発想が・・・
従来は先頭15文字でハッシュ値を計算していたのが、全文で計算するように変更された可能性が有り、その場合はセキュリティ的な問題は無い。AmazonかGoogleがこのパターンでやらかした記憶
15桁に制限、20桁では弾かれる、15桁に削ったらOK。15桁上限なのに一体何文字まで受け付けているのか。平文保存が疑われる開発チームなら無制限でもおかしくない。入力画面自体が脆弱性かも。
パスワードは記号とか数字を混ぜなくてもいいからとにかく長くすべしというのが今の考えじゃなかった?
残念ながら、パスワードが平文で保存されてるシステムなんてザラにあるのが現実。長さや文字に過剰な制限がある場合、恐らく平文保存されてる。自衛しましょう。
透過的暗号化で流出対策している可能性もあるが、まあ、SQL打てる立場の人には見えてしまう状態であった事はほぼ間違いないか。
元々15字より先は切り捨てて扱っていたのに、切り捨てなくなったとか?
某大手ファション通販みたいにフォームでトリミングしたりしなかったり挙動が一致しないから、ログインにつまずくサービスもあるから。挙動としては同じで、登録時のパスワードを削るとログインできる。
可能性として無理やり考えたところ、5文字ずつ4つのハッシュ(5x4=20)で突合してて、4つ目の検証をやめて、16文字以上の入力を一律エラーとしたんなら辻褄は合う。逆にいうとハッシュ化してた可能性はめちゃくちゃ低い
「パスワードの問い合わせにはパスワードを返答する」という要件があって、開発側はセキュリティ上問題があることを説明するんだけど理解してもらえなくて仕方なく平文保存になる、というのがかつてはありがちだった
20桁の文字列を暗号化しているものをVARCHAR(128)ぐらいで保存しているはずなのに、それを複合化したものから15字分入れろって意味なくない?
それで通るってどういう運用?
大丈夫、平文じゃなくて、シャーロックホームズに出てくる踊る人形だから、ダイジョブ
=平文保存かぁ~やってんなぁ
googleやappleだってパスワードマネージャーで復号可能な保存しているんだからうちだって平気やろーの精神。
途中のリプにもあるけど、元々先頭15字しか見てなかったんやろ。昔のハッシュ関数ライブラリは先頭n字しか使わなくて残りをサイレントに捨てる仕様のやつが良くあった(今は知らん)
システム改定まで平文で保存してて、システム改定時に15桁で削ってハッシュ化したとかはあり得る。改定までは平文保存でも今はどうなのかはわからんけどな。
15文字の入力制御がある時に、15文字以上「入力したつもり」で登録していて、なにかの改修で入力制御が効かなくなり、15文字以上「入力できるようになった」とか /ブラウザ変えるとログインできない時に似た経験した
平文で保存してない可能性を無理矢理考えると、以前は内部的に15文字にカットしてから照合していたが、それだと一致するパターンがいくつもあることになるので、15文字以上は無条件ではじくように変更した。とかか。
まず15桁のハッシュを追加して、1年後とかに長い方のハッシュを消すんだよ
うわぁ
内部で15文字でちょん切ってハッシュ化の可能性もゼロではないが…
三井住友カードもかつて16桁から8桁に変更されたことがあったな
わざわざ改修するからには今更15桁に制限する必要が出てきたわけだが何があったんだよ
先頭15文字でハッシュしてたなら20文字入力してもログインてきるのでは
ブコメで挙げられている5文字ずつ細切れにハッシュ化する手法だったとしても、それだけ短いと簡単にレインボーテーブルが作れてしまうからどちらにしてもヤバい
ユーザーログインで人力されるパスワード文字列を使って別DBにハッシュを再構築する移行プラクティスは存在する。"cognito lambda段階的移行"で検索。
そういや昔suicaのサイトでも同じことあったな。いや、あれは登録側が切ってただけか?
iDeCoのページにログインできず、コールセンターに連絡したら「システム改定でパスワードを15桁までにしたので、15桁まで削ってログインして」と言われた→「意味が分かるとめちゃ怖い話では?」のツッコミが相次ぐ
「平文保存ではない可能性もある」って、一方通行のハッシュ値ではなく復号可能な形で保存してたら根本的なヤバさは変わらん……
“※平文保存ではない可能性もある”
20桁のパスワードを15桁に切り詰めればログインできるとか平文保存か可逆暗号確定だろ。金融機関のシステムとしてセキュリティのガバガバさ加減がホラーすぎる
iDecoのページにログイン…ってどこの証券会社?それがわからんと対策のしようがない。 / クレジットカードでいうところの「Visaで払った」くらい、責任の所在がよくわからないやつ。
問い合わせをして「パスワードは〇〇です」と返って来るまでは、15文字にカットして登録されているのか分からないやつ。後から仕様変更ならとても危ない
削るという発想が・・・
従来は先頭15文字でハッシュ値を計算していたのが、全文で計算するように変更された可能性が有り、その場合はセキュリティ的な問題は無い。AmazonかGoogleがこのパターンでやらかした記憶
15桁に制限、20桁では弾かれる、15桁に削ったらOK。15桁上限なのに一体何文字まで受け付けているのか。平文保存が疑われる開発チームなら無制限でもおかしくない。入力画面自体が脆弱性かも。
パスワードは記号とか数字を混ぜなくてもいいからとにかく長くすべしというのが今の考えじゃなかった?
残念ながら、パスワードが平文で保存されてるシステムなんてザラにあるのが現実。長さや文字に過剰な制限がある場合、恐らく平文保存されてる。自衛しましょう。
透過的暗号化で流出対策している可能性もあるが、まあ、SQL打てる立場の人には見えてしまう状態であった事はほぼ間違いないか。
元々15字より先は切り捨てて扱っていたのに、切り捨てなくなったとか?
某大手ファション通販みたいにフォームでトリミングしたりしなかったり挙動が一致しないから、ログインにつまずくサービスもあるから。挙動としては同じで、登録時のパスワードを削るとログインできる。
可能性として無理やり考えたところ、5文字ずつ4つのハッシュ(5x4=20)で突合してて、4つ目の検証をやめて、16文字以上の入力を一律エラーとしたんなら辻褄は合う。逆にいうとハッシュ化してた可能性はめちゃくちゃ低い
「パスワードの問い合わせにはパスワードを返答する」という要件があって、開発側はセキュリティ上問題があることを説明するんだけど理解してもらえなくて仕方なく平文保存になる、というのがかつてはありがちだった
20桁の文字列を暗号化しているものをVARCHAR(128)ぐらいで保存しているはずなのに、それを複合化したものから15字分入れろって意味なくない?
それで通るってどういう運用?
大丈夫、平文じゃなくて、シャーロックホームズに出てくる踊る人形だから、ダイジョブ
=平文保存かぁ~やってんなぁ
googleやappleだってパスワードマネージャーで復号可能な保存しているんだからうちだって平気やろーの精神。
途中のリプにもあるけど、元々先頭15字しか見てなかったんやろ。昔のハッシュ関数ライブラリは先頭n字しか使わなくて残りをサイレントに捨てる仕様のやつが良くあった(今は知らん)
システム改定まで平文で保存してて、システム改定時に15桁で削ってハッシュ化したとかはあり得る。改定までは平文保存でも今はどうなのかはわからんけどな。
15文字の入力制御がある時に、15文字以上「入力したつもり」で登録していて、なにかの改修で入力制御が効かなくなり、15文字以上「入力できるようになった」とか /ブラウザ変えるとログインできない時に似た経験した
平文で保存してない可能性を無理矢理考えると、以前は内部的に15文字にカットしてから照合していたが、それだと一致するパターンがいくつもあることになるので、15文字以上は無条件ではじくように変更した。とかか。
まず15桁のハッシュを追加して、1年後とかに長い方のハッシュを消すんだよ
うわぁ
内部で15文字でちょん切ってハッシュ化の可能性もゼロではないが…
三井住友カードもかつて16桁から8桁に変更されたことがあったな
わざわざ改修するからには今更15桁に制限する必要が出てきたわけだが何があったんだよ
先頭15文字でハッシュしてたなら20文字入力してもログインてきるのでは
ブコメで挙げられている5文字ずつ細切れにハッシュ化する手法だったとしても、それだけ短いと簡単にレインボーテーブルが作れてしまうからどちらにしてもヤバい
ユーザーログインで人力されるパスワード文字列を使って別DBにハッシュを再構築する移行プラクティスは存在する。"cognito lambda段階的移行"で検索。
そういや昔suicaのサイトでも同じことあったな。いや、あれは登録側が切ってただけか?