メディア記事

ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンクが、「dアカウント」や「My SoftBank」などの会員サービスのパスワードを平文で保持していることが分かった。パスワードの平文保持は情報セキュリティ上のリスクになる可能性もある。

バズる指数ピーク 1,011

 twitterコメント 405件中 201~300件
ドコモ最低やん・・・
セキュリティしっかりしてるから大丈夫!って一番ダメな理由では
パスワード平文で保持するのは怠慢勢が賑やかで、まあそれは開発者も気が回らなかったんじゃないかと思ったけど、
ドコモとソフトバンクがそれをやるのは怠慢だわ
平文保持と平文通知は違わない…?
まぁどちらもよろしくないんだけどさ。
よろしくない度合いが違う気が。
平文で保存しないのは基本では…?
え、2社も? --
ドコモ、直す気もセキュアな意識もまるで無くて草
> パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。
平文で開示と平文で保持だと意味合いが違うんだけど、この記者はパスワードを平文でDBに保持してるのを確認したわけ?
ハッシュ化したパスワードを客に提供しろってか?w
> パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。

流石だ。ドコモ口座でやらかしただけのことはある。
クソすぎる
> パスワードはサーバの中で厳重に保管しており…

🤔
パスワード平文保持!?
言いたいことはわかるけど、不可逆のハッシュ化しないことと平文保持は全然意味が違わない?(*´-`)ゞ
リテラシ低い人(というかユーザの多数派?)のレベルに合わせた仕組みとなると、こうなるのかな…内部でリスクとベネフィットがちゃんと検討されてるのならあるいは…いや…
>> パスワードはサーバの中で厳重に保管しており、

笑った
まあ楽な実装をしたいよねw
うっわ…
/
自動生成した10字の英数列暗記してるのが馬鹿みたいじゃないか
まさかの平文保持。
ドコモ「パスワードはサーバの中で厳重に保管しており、」
ソフトバンク「パスワードを平文で送信しているのは事実。ユーザーへの利便性の観点から実装していた。」
未だにパスワードを平文保持してる会社があるのか
いけない
ドコモの回答の的外れ感すごいなw よく分からないオペレーターがとりあえず回答出しちゃったんか?
ドコモはdアカウント内で閉じてるから大丈夫的な言い方だけど、インターネット上を通ってる限り絶対は無いからなぁ。再設定を促す方がいいね。
パスワードの平文保存は法律でNGにしてほしい。。あとクレカのセキュリティコード保存も
ちょっと!?
忘れたから教えろ!っていうクレーム多いんだろうなぁ
ええ…
dアカウントがパスワードを平文保持してることについては2014年ぐらいから言い続けてるけど今さら??
ひゃー
ドコモがパスワードを平文で保存しているのは僕も気づいて、かなり激おこしたツイートがある
パスワード平文保存ネタが流れてきてなんぞやと思ったら、これは草も生えない…
こ、これは…
auだから大丈夫… と思いきやdocomoもSoftBankもY! mobileも電話番号持ってました(え)
大丈夫じゃなくて草生えないわ
・・・ドコモさん?
au大勝利・・・ではないけど、先代の社長がプレゼンとか営業トークは下手だけど技術畑出身だったから、その辺りはちゃんとしてたのかな?
オッ。

ジュニアエンジニアが設計したんやろな……
これドコモに関しては少なくとも2010年からそうだよ
ドコモはdアカウント系サービスは回線のみの接続だから大丈夫と思ってるんかな?
たしかSteamもパスワード忘れたらメールで教えてもらえたような記憶がある
10年近く前の記憶だから今はしらんけど
えっ…!?
2年前に調査したときにはここらへんは調査対象に入っていなかった…。うーむ。
ほぇー。
すげぇ・・・ソフトバンクがドコモよりまともに思える・・・
「サーバの中で厳重に保管」でセキュリティ問題が解決するなら、誰がハッシュ値で管理なんてするんだよ?!
まじか!!!
ある意味closedとは言え、やっぱないだろ、、
-----…
ドコモさんへ、今すぐそのDB情報を削除してください。
ドコモは頭お花畑ですね
マジで?!可逆な形で保持とか怖いからやめて…(´;ω;`)
ユーザーに送らなければバレなかっただろうに→
危ない危ない。 →
ソフトバンクは危機意識があり、ドコモにはない。
だが、ドコモがソフトバンクよりも速く平文パスワード保持を脱却すればいいけどね。
厳重に平文保管が意味無いことは承知の上だろう
dアカウント持ってるけど回線に紐付いていないアカウントもハッシュ化無しなんだろうか…
リマインダで平文帰ってこないとショップに駆け込む奴が出るからその対策やと思ってたわ
初期パスワードならともかく、ユーザが設定したやつも平文保存とか気が狂ってるとしか思えない。
LINEMOがパスワード平文保持してる件、記事になってた。



SMSでSenderID使うのも結構なリスクだけど、直ってるのかな...
全部のセキュリティ対策これで乗り切りたい
“パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない”
きっつー。
こういうの、消防法とか建築基準法みたいな法律作るべきなんじゃないかな。脆弱性診断会社が確認申請処理するみたいな。デジタル庁とか作ってるんだし
緩い強度のだけ裏でJohn the Ripper喰らわせて表示して、つよいのは復号出来ませんでした!とか出たら面白かったのに
えっドコモでこんなセキュリティなんだって思ったけど、よく考えるとドコモはいつもこんなんだな。
Docomo辞めるか。
自信があるんやろ、多分。>
ドコモ草
社内にセキュリティ担当者いないかオペレーションがおかしいので他のセキュリティ全体も不安になるなこの返答
エイプリルフールだっけ…
ええ……。
さすがiphoneのタイプCケーブルの充電器を充電効率が良いからという説明で無理くり買わせようとする人たちだ。USBライトニングで十分充電できるのですが、、、。
情弱なので先日LINEMOに変えたところです。
ガハハ
ドコモ…
え???そんな世界あるんだ、新鮮!
『ユーザーの利便性のため』とか『サーバの中で厳重に保管しており』とか的外れなこと言ってるな
ハァ?土管屋だけやってろよ。使えないサービス全部やめろ迷惑だから。
ドコモの "サーバの中で厳重に保管しており、SNSやメールで外部に提示することはない" って誰もがそう思っているけど、やらかすからセキュリティ事故が無くならないんだよ/
「パスワードの平文保持」、コカインの単純所持と語感が似てるしもう善管注意義務違反で処罰できるようにして良いと思う
dアカウントのパスワードレス認証は思っていたより普及していないんかなあ。
ドコモ
「サーバの中で厳重に保管」

ドコモほどの企業でも、保管の仕方が「厳重」なら大丈夫という認識なんだ。
ドコモは、セキュリティのためにログアウトを頻繁にさせておいて、パスワードは平文で保存してる。セキュリティをはき違えてる思考停止状態なんじゃないか。
自分のパスワードって自分でも見ることほとんどないから平文で見せされると特有のショックを受ける。表現が難しいんだけど。
おいおい
平分保持は三度見だわ
これは酷い
パスワードの平文保持を巡っては2019年に、が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいする問…

考えてないんだよね、利用者のことなんて
ドコモとソフトバンクって通信事業者ですよね。
“パスワードの確認機能を使った場合は、自分で設定したパスワードをdアカウント内のみで(平文として)確認できるが、パスワードはサーバの中で厳重に保管しており、外部に提示することはない。”しばくぞ
令和の時代にパスワード平文保持とか正気?松井証券もそういう疑惑あったけど携帯キャリアもかよ!
パスワードは復号できてはいけないので、暗号化ではなくハッシュ化が必須です。
うわぁ。通信会社とあろうものが、基本がなってない感じだな。:
ワロタw
いまどき平文って…
これかなり昔からやってたはずと思って自分のtwitterの過去ログ漁ったら、少なくとも2014年の時点では既にやってたのが分かった。
みてる:
ドコモの全然分かってない感あふれる返答がいい味だしてる。
ドコモの回答ポンコツすぎひん?(´・ω・`)
らいんもって読むのか
実は平文保存してるサービス知ってるんだけどJPCERT/CCというよりもIPAに知らせた方がいいんですかねどっちがいいんですかね
>
そもそもやっちゃだめなことなのですが、2社のコメントに根本的な認識の差が見えますね。
「ケータイキャリアはパスワードを平文で復元できるように保持してる」って、ずっと言ってたでしょ、これのことです。
でも、これが一律悪いとは僕は言わない :
“一方、KDDI(au/UQ mobile)と、楽天モバイルの会員サービスでは、パスワードを忘れた際の処理としては本人確認の後にパスワードの通知は行わず、新規パスワードの設定画面に移動する。”
さすがにウソやろ…?ホントなん??!!
【IT media News】
なんと…
ユーザーが原因とはいえ流石に今時それはちょっと
タイトルとURLをコピーしました