メディア記事

ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンクが、「dアカウント」や「My SoftBank」などの会員サービスのパスワードを平文で保持していることが分かった。パスワードの平文保持は情報セキュリティ上のリスクになる可能性もある。

バズる指数ピーク 1,011

 twitterコメント 405件中 301~400件
香ばしいかほり🔥
実に香ばしいかほり🔥🔥
平文で保管するのは厳重とは言わない “パスワードはサーバの中で厳重に保管しており”
元パスワードをユーザしか知らない個別のキーで暗号化してるのであれば安心できるかもしれないが、それが可能なユーザには平文提示機能は要らんわな。
未だに大手でそんなことあるのか
やめーや
百万歩譲ってソフトバンクの言い分はまだまし
ドコモは論外
えっハッシュ保持じゃないんか --
記事の内容は妥当なのに、タイトルが見た人を惑わす表現なのはアレ。ITmediaともあろう媒体がコレでは…>
お、おう…
は?今時平文って、頭おかしいんじゃない?
知ってた。むしろ利用者全員知ってただろこれは。SMSでパスワードが平文で送られてくるんだから。

ドコモとソフトバンク、パスワード平文保持か
マジかよ ↓
この手の話題、最近は常にドコモの方が回答がひどい
まぢか。
👀
えっ?
何年か前にYahooやdocomoのメールはTLSで送受信してないぞってGoogleがレポートしてたの思い出して、見たら今も相変わらずだった😫 今回の記事といい試されてるなぁ …
三大キャリアでこのレベルなの
知ってた速報 |
ふぁー
"LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。"
2社の回答を見ると平文で保存することの危険性がわかってないみたい。情けない(・・;
パスワードは平文で厳重に保存してるからヨシ!
え?こんな緩いの?
ダメじゃない?
芋づる漏洩の評価が抜けているのか
み「パスワード忘れました!」?「あなたのパスワードはこちらです!」|
あかんやろ。
ドコモの方はiモード時代からの名残ですね。自社回線かつネットワーク暗証番号で認証してるから平文で参照OKっていう。勿論、今では平文保持自体を避けるのが基本なんだけどね >
ITmedia: ドコモとソフトバンク「パスワードを忘れた」ユーザーへパスワードを開示している
「ドコモ系列がdアカウントのポータル内、ソフトバンク系はSMSでパスワード通知。情報漏えいが起きた際不正ログインなどリスクになる」「KDDI系と楽天モバイルは新規設定画面に」
パスワードを忘れたら新規設定が当たり前だと思ってた
| Fooooo…!!!
何年か前にYahooやdocomoのメールはTLSで送受信してないぞってGoogleがレポートしてたの思い出して、見たら今も相変わらずだった😫 今回の記事とのダブルパンチ効くわぁ …
大人数での開発で、エンジニア各々が当事者意識を持つのはすごく難しいだろうなと思う。問題に気づいても、直すのにハンコいくつももらわないと作業できない割に、旨みもなければ、誰だって気づいてないフリするし、プロダクトに愛着ももてないよ。
ええ…ちょっと信じられないが…
ワロタ。
多要素認証してたら、まだマシかな。
d アカウントはパスワードレス設定してるけど、本当にパスワードが破棄されてるのか不安になって来た
そっかー
"パスワードはサーバの中で厳重に保管しており"
NTT系は色々と邪悪なのでサービス一切使ってないけど、この判断は間違ってなかったと再認識。
「パスワード」によるセキュリティ認証はそろそろ限界が近づいて来ている気がします。
前から知ってたけど記事にされてなかっただけ
ハッシュ化されていない=平文保存ではないとはいえ、何を食べて育ったらパスワードをユーザーに送るサービスを作ってしまうエンジニアに育つのだ?
絶句…😱
あたおか
いかんでしょ。
「パスワードを表示する機能があるサービスはヤバい」ということはもっと知られてほしい。
えぇ.....…
dアカウントまじかよ…
「パスワード忘れたら再設定して」でなく「パスワード忘れたら教えるよ」が可能なところは危ないってことですよね?
docomo……
わお。
📍
【出所: / 厳選】
知ってた
マジか
『
>編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった
平文保存?!?!????
>パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。

事が起きる前、最初は、みんなそう言うんやでw
まじか!と思ったら、再発行の時表示されていたわ
ソフトバンクがSMSで飛ばしてくるの大昔からだよね
CS側からの要求(問い合わせが多いから)なのかな?
平成の後期には廃れた手順だと思ってた。
情報セキュリティ意識の低さよ (´Д` ) シンジラレナイ
「パスワード忘れたから教えろ」と言って再設定を許さない人がいるんだろうな
本当か嘘か。。。

そんなことある⁉️と思うが、どうだか。

-----
なんと。これは驚きだ。。
これはこれは....
いまどき雑なセキュリティだな /
前から僕が指摘していたやつです
マジか😓
これ、報道することで被害が拡大する/出る可能性があることを想定しているのだろうか
タイトルで隠してるけど震源地LINEMOだから。
漏れてもいいようにハッシュ化して保存しておくのが無難な対応だけど絶対に洩らさないという保証があるならいいんじゃない?(大嘘)『
平文保持を継続とはドコモの回答はイケてない.
:
ドコモ「サイト内に限って復号したパスワード表示するけど、サーバー内では厳重に管理してるし外部通信には載せないから大丈夫だよ」って言ってるけど、そうじゃない。
フフッwww
今更平文ワラ
”厳重に保管"ってフラグにしか見えない。
eSIMの件もあるし・・・
とりあえずbcryptを使うみたいな風潮はあると思う(てきとう
たとえ暗号化していたとしても、復元できるなら漏れる可能性はあるのよね。
パスワード通知させるなら、いっそのことワンタイムパスワードでいい気がする。
SBの回答の方が「見直し検討中」と前向きね。
記事を読むのが怖かったが、
ドコモ
「パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。」
ええ、被害者はどなたもそうおっしゃいますよ!
まじすか。。。
知ってた。
マジか…未だに平文保持してる中小企業あってげんなりしてるのに大手がこれは…ドコモは見直す気もなさげ。
建築基準法みたいにITセキュリティ基準法を作って縛れないかなあ?

ドコモ「パスワードはサーバの中で厳重に保管しており」
"パスワードはサーバの中で厳重に保管しており"
投稿時間:2022-03-15 20:03:24
キャリアがこのレベルなんだからね・・・
おう、まじか、、
D>ユーザーの利便性のため
S>ユーザーの利便性向上のため
パスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある
こんなもんだよ、日本のサービス。
冷静に読みたい🥺
何ソレ (ll゚Д゚) 怖ぃ・・
マジで?マジらしい。
おお!ネットワーク暗証番号かと思ったらdアカウントか、ホンマか?信じがたいな!
昔は良くても今はっていうところかな。

禁止されてるクレカのCVVを決済時に保持ってるオンラインストアもあったりするし実態わからんよね
--
そういう死すテム、ありふれていると思う。
Web系の人は天才秀才ではない。
そんな事気付かず設計してる。
下手するとカード情報がそのまま残っている。
「(平文として)確認できるが、パスワードはサーバの中で厳重に保管しており」かなり渋い
全確保支援士NEWS
歴史が長かったり、規模が大きかったり、ユーザーのリテラシーが低い場合はパワスワードリセットへ移行するのはなかなか難しいよね。とはいえ、大丈夫なのかな。
ドコモとソフバンかわいそう。ただ平文を持っているだけなのに…ほかのサービスもみんなパスワードの平文くらい持つよねえ? 持ってないのはイケてるサービスくらいだよねえ
ドコモのこの見解はヤバい。
タイトルとURLをコピーしました