メディア記事

ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンクが、「dアカウント」や「My SoftBank」などの会員サービスのパスワードを平文で保持していることが分かった。パスワードの平文保持は情報セキュリティ上のリスクになる可能性もある。

バズる指数ピーク 1,011

 twitterコメント 405件中 101~200件
LINEMOとかでもそんなもんか
ドコモ「パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することは無い」

ほーーん🤔🤔🤔
稀にパスワード平文保持しているんじゃないかと疑ってしまう話を聞く。パスワード平文保持はダメダメダメ。
> docomoさん: パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。

ちゃうねんな…その「厳重な保管」を破られた時が問題なんやないかな………
徳丸本初版(2011年3月)の功績の一つが「パスワードはソルト化ハッシュ+ストレッチングで保存すること」を「常識」にしたことだと密かに思っている
2022年のニュースなの!?〉
「LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っている」
このドコモの説明は危うい。仮に漏れたときの話になっていないな。

「パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない」
サポートコストと漏洩リスクのバランスをどうとるかという問題なので一律に悪いという話ではないと思う。二要素認証だってあるし。
素朴に疑問なんですが「パスワードはサーバの中で厳重に保管」って具体的にどういうことなんだろう
大手でもこれだから日本のセキュリティやべえよ
ドコモの言い訳がアレ。あかんやつ
パスワードの暗号化の話、、、暗号の知識はあってもシステム運用時にどう利用するのかは、意外と教えられてないんじゃない?
腰抜かした。大手通信キャリアでこれか…。技術者は当然抵抗しただろうけれど、経営サイドからの要請、つまりは「馬鹿な客」が多い故だろう。しかし客を啓蒙するのも企業の仕事だろ。
LINEMO=Yahoo=ソフトバンク系列がパスワードを平文保持して袋叩きになっているのだが、
なぜかドコモが巻き添えになっているクソメディアの悪質性



ITMedia=ソフトバンク運営だから悪質なのは当然だが、

不可逆のHash化以外のパスワード保存は違法化した方がいい
元勤務先がパスワードを提示する方式でなかったのはとりあえずよかった…
「パスワードの平文通知」や「平文保存」(今回のケースがどうかは不明)が記事化される時代となりました。皆様の組織でもご確認を。暗号保存が許容されるかどうか→
ハッシュって言わないで、パスワードハッシュとか区別してほしい...
大手キャリア早く滅びろ
やば😱
この記事だけでは、本当に平文で保持しているかは分からないな。
でも、本当だとすると技術力に疑問符が付くね。
あ、やっと問題になったの…これ自分も過去ツイートしたけど、やっぱ直接docomoに言うべきだったか。
パスワードその他を忘れて口頭で(電話で)パスワード教えろと凄む連中対策だぞ。本人が同意したらパスワードは公開情報として誰でも閲覧できるようにしたらいいんじゃないかな。
ユーザーサポートの観点では利便性が高いんだろうけど、いまどきこれは無いなぁ
復号できるパスワードを保存するな2022
もうそういう時代じゃあないよなってユーザに認識を広めるのも通信大手企業の務めなんやろなぁ(´;ω;`)…責めるんじゃなくってどうやったらみんなで次に進めるのか建設的な議論が湧き出して欲しいんよ…
パスワード忘れたら再設定に誘導しなさいよ
大手でもパスワードを平文で保存しちゃうのか…。
パスワードを平文で持たないのは基本中の基本だと思ってたから、docomoやSoftbankですらそれを徹底できてないのは衝撃的。当たり前のことを当たり前にちゃんとやることの難しさを感じる。
💡ドコモとソフトバンク、パスワード平文保持

⚡️ 「パスワードを忘れた」からユーザーへ開示するため。
⚡️ ハッシュ化に比べてセキュリティ対策として弱い。
⚡️ 漏えいした場合のリスクが大きい。
10年以上絶ってもこれなの、低リテラシーユーザーのためなんだろうけど大手だからこそ、そこを底上げして欲しいんだけど。 |
平文で保管とか意識低すぎ
┐('~`;)┌
パスワードを平文保存。。。最近どこかてみたな。
俄には信じ難い話ではある。
おるひとは、みんな賢いはずやのになあ。
今さらなんだよなぁ。かつてドコモに連絡したけど無反応だったね。
20年前に作ったシステムかな?
ドコモ側のコメントがおもろいな(笑えないけど) -
ドン引き😨
えぇぇ…SBは仕様と思ってるし二度と使わないからいいけど、ドコモまで…。
dマネー支払いとかで金銭と直結できるのに、この体たらくはマズくない??
ネットの反応を見ると平文保持を叩く割には暗号化とハッシュ化の違いが理解できていない人が多数混ざっている

暗号は元に戻せる、ハッシュは元に戻せないの違い……だが、なぜハッシュは元に戻せないのか、そしてそれがなぜ機能するのか、直感的に理解できないのが原因か
auと楽天はハッシュ化して保持している。ハッシュ化は不可逆な変換方法なため、たとえ企業から情報が漏洩した場合も悪用されづらい。
これ記事の書き方がダメだろ。
まずは「平文で保存してることがわかった」 →提示できるからって平文保存とは限らない。可逆暗号化だってあるんだし。
問題なのは平文に戻せることととか平文で提示できちゃうことじゃないの
なんてこった!(ハッシュ化がよくわかってなかった人)。
これはよくない・・・
平文やめれ😥
「パスワードはサーバの中で厳重に保管しており」

へーそれは安心だねー(棒
普通は不可逆暗号だよね。とりあえず「私が作成したシステムはドコモやソフトバンクよりもセキュリティーレベルが高いです」と言えるのはIT屋としてありがたいかも。
KDDIと楽天は対処できてるんだから、ドコモとソフトバンクができないってわけないはずなので
“パスワードはサーバの中で厳重に保管しており”なんだろう、フラグにしか見えないんだけど。
保存方法は良くないけど、リカバリ時の認証強度は「所有端末の回線認証(ネットワーク暗証番号)」を行っているようだから、よくある「所有端末にSMS送信」と変わらない気がする。
ドコモの回答、正当化のための弁明だよな。まあ、実装当初はセキュリティよりも利便性を担保することの方が重視されてたのかも知れんけど。
その辺の中小企業で作った小さいシステムでもこれはない。内部の人たち全員が気づかないはずなくて、声を挙げられない体制に大きな問題がありそう
最悪のリテラシーを誇るユーザー層には同情するけど、突き放すのが正解だろう。
ええ・・・
やってるな
日経BPとかは平文送りつけてくるのをやめたの?
えぇ〜 携帯電話絡みは対象層が広すぎて パスワード再設定だとマンドクセってことなんだろうが…だからこそしっかりやって欲しい
いっそパスワードの平文保持を違法にすればサーヴィス提供者もユーザーに「法律でできない」って答えられるのでみんな嬉しいのではないだろうか。仕組みが納得できなくてごねるユーザーはいるだろうけれど
社内の関係ないエンジニアは頭を抱えてるだろうし、関係あるエンジニアは何度行っても理解を示さなかった上層部に頭を抱えてるんだろうな
阿呆かな?
ぬーん。
詳しくはわからんけど
SIMのドコモ網を閉域網扱いしてるからかなぁ。
けどそんなんだとAPN(All-Photonics Network)に対応出来ないから改善せなあかんなぁ。
日本のデジタル化はまだ先が長い
暗号化よりハッシュ化というやつ
他でも同様の所あるよなと思いながら読んだ。
えっ? コレはまずい。
恐ろしい
企業側の問題なのか、ユーザーが付いてこれないのか。あるいは両方か/うちの両親に一般的なパスワード再設定の手続き自力でできるか考えるとまず無理。学校はともかく職場の教育機会は業種や会社規模で差がありそう
茸もやってて草
「LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っている」/ドコモの広報、「直す気はない」って言ってるね。社内で問題にならないのか? / “ドコモとソフトバンク、パスワード平文保持か …”
感覚2005年ぐらいからパスワードは非可逆(ハッシュ)がトレンドになった気がする。
それ以前に作られたシステムはパスワードは可逆(暗号化)での管理が多いのでは
どっちもアホだが、ドコモが輪にかけて更にアホ。
やばあ。昭和のシステムかよ。
docomoユーザーだけどdアカウントのアプリで表示できた。。。自分のパスワードが表示されるとなんか動揺するな。大手の業者でこんな運用はあり得ないと信じ込んでいた自分が悪いのだけど。
ほかでもこんな感じのところあるよね.パスワード忘れたって問い合わせるとパスワードがメールで返ってくるとか(自動じゃなくてオペレータが対応→オペレータがパスワードを見られる):
ドコモの自信は一体どこから湧いてくるのだろうか?
これパスワード再発行のとき毎回これやばくない?って思ってたやつだ。
これは…
このフローを見る限り、システム内にパスワードが平文で保存されてるように見える。ハッシュ化されてるならこんな事にはならない。
平文保持て
auと楽天ユーザのワイ、大勝利。勝ってどうなるもんでもないけど。
個人的にタイムリーなニュース。
--
DocomoやSBでこのレベルなんだから、ユーザが自衛するしかない。
・共通パスワードは絶対に止める。
・二重認証が使えるサービスは使う。
・パスワード管理ソフトを使って、16文字以上の英数字記号を混ぜたパスワードを使う。
必ずしも平文保持してるとは限らんよね、複合できる形で暗号化してるなら問題ないはず。
例えば暗号キーと暗証番号で暗号化してれば個々に固有の暗号化が出来る訳だし。
確かに平文保持疑惑が問題とする記事のように読めるね。可逆暗号だったら平文保存じゃないので問題ないかのようなタイトル。問題は平文で回答しているという業務フローの事だろう。
怖いから使わない。「パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない」
怖すぎて泣いた
10年前の実装かよ、という思いはあるが、他のインフラよりも「パスワード忘れたから教えろ」てっ高齢者が多いんだろうなと同情の余地がなくはない
おっと。
たぶんこういう古い設計の実装が残ってるシステムは多いと思うので、対応の必要性を認識してもらうためにも定期的に祭り上げていくのがいいと思う
技術に疎いものが発言権のある組織では平文保存がまかり通る。なぜならユーザ様の「パスワードを忘れたので教えろ」クレームを正しい要求と理解してしまうからだ。私としてはバカの巻き添えを食らうのはかなわんが。
「パスワードの平文保持を巡っては2019年に、オージス総研が提供してきたファイル転送サービス『宅ふぁいる便』が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいする問題が発生した」|
(。・ω・。)ノ
これ不味くないか?
普通だったらリマインドさせてパスワード変更させるけど。
ありえへんなぁ。
「モバイルデータ通信とSMSなら通信経路が安全」が前提かな?今でもこの要件は成り立つのだろうか?
「ハッシュ化は不可逆な変換であることから、ハッシュ値からパスワードは復元できない(ただし、追加の工夫がなければ辞書攻撃で解読される可能性はある)。」
昔、ハッシュ化されたパスワードを平文に戻せって指示してきた先輩がいて、何いってんだこいつと思った。ハッシュは不可逆なことを相手のプライドを傷つけないように伝えるの苦心したなあ
平文で通知してるのが問題なんじゃなくてそもそも平文で保持してるのがおかしいんじゃないの。ドコモソフトバンクレベルでもこれなのか。
あちゃ、これ痛い案件。
dの回答のズレてる感…
タイトルとURLをコピーしました