メディア記事

ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンクが、「dアカウント」や「My SoftBank」などの会員サービスのパスワードを平文で保持していることが分かった。パスワードの平文保持は情報セキュリティ上のリスクになる可能性もある。

バズる指数ピーク 1,011

 twitterコメント 405件中 1~100件
正直、今更な話し…。
ドコモの「基本的には」って事は、例外があるって事…
えーーー💧ユーザーの利便性とセキュリティを天秤にかけて、利便性について選んだって何なん??
うーむ😑。
➡➡➡

--
▶ブログ【IFTTTの先へ】のサイトマップ(目次):
あんまり変わってなかった(;´∀`)

「ドコモへの再取材で、パスワードを暗号化の上保管していることを確認できたため、タイトルとドコモ引用部の記述を変更」
平文のままとか初心者が実装したの?ってくらいお粗末ソフトバンク
は??
パスワードは塩漬けして要約が基本じゃないんですか?
ドコモは暗号化してるみたいですが、暗号化だと鍵が分かれば復号できるので、あまり良くないような……

〈 〉
ソフトバンク「パスワードは平文で保存しているが、」そうなんだ。
「パスワードは「ハッシュ値」と呼ばれる文字列に変換(ハッシュ化)した上で管理するのが望ましいとされる。」
なぜ漏洩リスクが危惧される平文で保持するのか?
今回の元ネタはこの記事だよー
パスワードをデータベースに保存するときは「ハッシュ」を使おうね♪
絶対お漏らししますやん、こんなの…
ドコモとソフトバンク、システム開発の偉い人が、パスワードの扱い方を理解できていないのか。。
こういう会社があるから、パスワードの使い回しは危険。
何これ
ドコモは見直す気がないの?
ユーザーの利便性より大事なものあるでしょ
記事を読んでいるとドコモよりソフトバンクの方が対応として良い気がする。

指摘を受けたら誤魔化さずすぐに誠実な対応をする。

簡単そうでなかなか出来ないですよね。
自戒せねば。
パスワードを平分で保持していた……って
簡単に見れるのやばだよなって思ってたこと記事になってた。ユーザーとしてはわかりやすくていいけどね。
ドコモ「パスワードを平文で保存しているが、暗号化してセキュリティ対策しているので問題ない」
セキュリティ意識ガバガバ過ぎて唖然。ハッキングはされるものという前提がないのはヤバい。セキュリティ対策とやらも程度が知れる。
ソフトバンクパスワードを平文で保存してるってまじ!!???
Yモバイル解約しようかしら
時点でパスワードを平文保持しているのはソフトバンクのみ。
「漏らしても良い」と、仕様決めの段階で判断したからでしょ。
あとからタイトル変わってて草
訂正のおしらせだった

>追記:2022年3月16日午後7時30分
>ソフトバンクへの再取材で、パスワードを平文のまま保管していることを確認できたため、ソフトバンク引用部の記述を変更しました。
底辺エンジニアわたしにとってめちゃくちゃ勇気が湧くニュースww
ソフトバンク「パスワードは平文で保存している」
正気かよ…
暗号化したのでヨシ(良くない
両者とも「ユーザーの利便性を考えて」とのことですが、パスワード再設定の手間すらも惜しむなら、もうパスワード認証などという利便性の低い認証方法は止めて、SMS認証だけにすればいいのでは
そもそもパスワード認証はユーザの負担がとても大きい認証方法ですぞ
ソフトバンク「パスワードは平文で保存しているが、」 まじかよ。まさかの展開
確認できちゃったか……。
そういえばmoperaもパスワード自分で確認できたような。
同じ仕組みかな。
過去から学ばない人たち
『利便性』と『安全性』のバランスって難しいな。。
!?!?
地震の話が吹っ飛ぶくらいビックリしたんだけど、日本企業だとよくある話なの…?ソフトバンクに至っては平文保存とか、この情報だけでも狙ってくれと言ってるようなもんじゃん
なんとなく気づいてたよ。とくにこのパスワードの扱いは注意してたよ。
なぜ、「ハッシュ化せずに保持」が「平文で保持」という説明に変わるのだろう…意味もわからず記事を書く人って怖いね。
やはりソフトバンクは信用ならない。
てめえで復号できたらそれは暗号化と言わないのでは…
ソフトバンクは平文保存してるのかよ〜
大手企業やるじゃん
ソフトバンク「昨今の」に草
驚きしかない
おいおい。
出自的に本来一番IT企業に近いはずのソフトバンクが一番ダメとかお笑いだな。
追記に味わいがある |
大手でもこうなの!?
うちで構築してるシステムはハッシュ化してるけど、自慢にもなりゃしない。
ソフトバンク様は相変わらずユーザーフレンドリーで安心できます🤣変わらないセキュリティ意識の低さ、永久不滅です。
ちょ。マジか。
パスワードを暗号化して保存ってあんまり聞いたことありませんが、そんな運用もあるんですね
また、大手で平文保存しているところってまだあるんですね・・・
LINEMO、ドコモ、ahamo、ソフトバンク、Y!mobileの会員サービスでパスワードが平文保持されていると分かった。平文保持は情報漏えいが起きた際のリスクになる可能性がある。各社はユーザーの利便性のために実装しているが昨今の動向を踏まえ、見直しを検討しているという。
お、おう・・何でこういう風にしたかはなんとなくわかる・・・あと20年経てば、もうこの手法は辞めて新規パスワード作らせるほうがいいって【 】
うせやろ… >
おいSB!😑流石にそれはない。

“パスワードを平文のまま保管していることを確認できたため”
え!?マジですかい??
これ、表示機能いらないからハッシュでよろしくとか言えないものかね
ソフバンはともかくドコモ、ヤバいな。とても1位のキャリアとは思えない >
LINEMOの他にドコモとahamo、ソフトバンク、Y!mobile、パスワードをハッシュ化せず保持
「パスワードを忘れた」からユーザーへ開示
システム的に隔離されているユーザー毎に異なる十分長さをもった秘密鍵を使って暗号化してあればターゲット特定したブルートフォースには弱いがハッシュ化にこだわらなくても大事にするほどではないと思うけどダメ?
暗号化して保存はしてるけどハッシュ化はしてないんだったらダメでは
ロシアに売り飛ばしていいで。
この業界、壊れてないものをいじらないでいると、いずれ爆発炎上します
これは酷い……
な、なんだってー!!!
リテラシーの低い人に基準を合わせると安全は保てないんだよ。
暗号化して保存していようが復号できるということは盗める隙が生じる可能性が残る
おっそろしいな
"LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった"
ハッシュ化してないとかマジか…
暗号化なんてキーが分かったら意味ないぞ…
うん…まあソフトバンクならやるよね
さすがに平文ではなく、(可逆)暗号だった模様。

パスワードを忘れた時、メールで教えてくれると便利に見えますが
それだと盗まれた情報から復元できちゃうよという話。
ソフトバンクの認めるところもすごいし、ドコモは論外。でかい会社でぬくぬく働いてるエンジニアを想像するとなんだかなぁって感じ。
えっ!
普通にやばくて草
dアカウントのアカウント持ってるなぁ・・・
こりゃすげえや。令和のシステムとは思えない。
何かあったときのために確認したいから平文で保存するっていうクライアントは意外といて、暗号化での格納を説得するという謎の時間が発生します。
その上で、セキュリティはしっかりしろって言う。。
ワタシに言わせりゃ、この時勢にあまりにも危機意識なさ過ぎだな。このようなシステムを構築した当事者を早急に処分すべきだ。
>平文で提示する機能を持っている
平文保持でないにしても可逆変換しかしてないって事よね………さすがにないわ (´・ω・`)
こんな大手が平文保存してるんか、、、
ベターリッジ見出しの法則
LINEMO以外も。怖い怖い。
SALT+ハッシュ+ストレッチングはおまじないくらいの勢いでやってほしいね。
この記事は、「平文保持」ってところが突っ込みどころ。
パスワードを平文で、、、
マジでやめてほしい。

こういうのはユーザビリティの話ではなく、セキュリティの話なんで!
そういうのが通じない人たちもいるから、法律化して欲しいくらいですよ
ソフトバンクは契約内容によってはパスワードを自分のガラケーで設定出来ないので
そういう人に郵送する仕組みがあった
これはdocomoやSBはパスワードを平文復元できるように保持してる問題?それを簡単に平文保持と言っているの?それとは別にdocomoさんサーバーで厳重に管理は答えとしてアウト/
気になる今日のニュース
IPA、専門家による脆弱性診断を無料提供 中小運営のECサイト向け
応用情報とか勉強してるおかげか何となく理解できるな
"見直しの検討に入っている。"
さっさと見直してくれ。もう2022年やぞ。
今どき平文って……
「パスワードはサーバの中で厳重に保管しており」この一文が意識が低いんじゃないかな?
記事には「LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも」と書いてある。正気の沙汰とは思えない。日本の21世紀は遠い。
ほげぇ(白目
復号できるからお知らせでパスワード表示ができるということか、なるほどな。ドコモの返答がとても痛く感じる。 |
docomo、ソフトバンクもまともな技術者つかってねーな
ワシが基本的にあうおたなのはコレ。
まぁ今のSIMアレなんだけど。
セキュリティ的にダメなd社とs社
😩
まあ、ずっと前から度々話題になってたわけだが。しかし、パスワードは使い回さないのが常識となった今日ではどうでもいい気もする。もはや使い回ししているリテラシ層のパスワードはどのみち弱いのでハッシュ化をソルト付きでしてても漏えい時には復元されそうだし。
[タレ]ドコモ、ahamo、ソフトバンク、LINEMO、Y!mobileに平文パスワード提示機能
利便性って言葉を間違って使ってはいけない。そんなものは利便性ではない。
「厳重に保管している」←フラグ?
やっぱりなとしか -
あとてよむ
(平文を)ハッシュ化以外で暗号化の可能性‥等とも本文中に有??

> (2019年)オージス総研は宅ふぁいる便のパスワードをハッシュ化しておらず、流出した情報を使えばパスワードリスト攻撃が実行できてしまう状況になっていたため話題になった。
未だにパスポートを平文で保存してるとかどこの零細企業だ?と思ったらドコモとソフトバンクだった件😱
擁護したくはないが状況はわかりそう。きっとパスワード忘れて教えて欲しいという問い合わせがものすごい数あり、再設定するという選択をしてくれにくいユーザーなのだろうなと。
たしかにこれはあかんやつw
ええ……:
タイトルとURLをコピーしました