パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PlayStation Networkの情報漏洩事件、Sonyが状況を説明」記事へのコメント

  • パスワードも流出して変更を呼びかけるというのは、平文か復元可能な状態で保存していたのでしょうか。
    ユーザーパスワードはハッシュだけ保持するという古くから常識とされている鉄則さえ守っていれば、パスワード自体は流出しないと思うのですが、
    ソニーともあろうものが世界展開するサービスでそんなズサンな実装をしていたということなのでしょうか。
    専用端末からのみアクセスされるクローズドなオンラインサービスだから、クライアント側で防げば大丈夫と手を抜いてしまったという所かしら。

    • by Anonymous Coward on 2011年04月29日 17時35分 (#1944963)

      ハッシュ化して保持は少なくとも「常識」ではあると思うのだけど、
      氏名住所メアドも同様に漏出不可な情報である以上、パスワードだけ別枠で強度を高める事に
      意味はあるのだろうか、という疑念が少し頭をよぎる。
      今回のような事故が起きるとすれば、被害を縮小する効果は確かにあるのだけれど、
      「情報の漏洩を予め想定して」という対応は何か割り切れない思いがある。

      パスワードは漏洩が認識さえ出来ればリセットで対応する事ができるし、
      そのサービス内のみで有効なユーザ権限を奪われるだけなので被害は限定的。
      使い回しをするユーザは、そもそも漏洩事故よりも大きいリスクを抱えている。
      ユーザパスワードって、個人情報に比べれば大した情報じゃないのでは、という気もしてくる。

      まあ仮に理屈がそうであっても、平文で保持するのは中々度胸がいると思うけど、
      別のメリットや必要性があれば平文保持もあり得る事なのかな、と。

      親コメント
      • 要するに想定外という言い訳が通用するわけですね、わかります。
        親コメント
        • by firewheel (31280) on 2011年04月29日 23時11分 (#1945022)

          >要するに想定外という言い訳が通用するわけですね、わかります。
          いや「想定内だけど、トータルのリスクを最小化する上で必ずしも重要では無い」ってことじゃ。
          「喫煙や過労の方が健康被害が大きいのに、微量の放射線被爆なんか気にしてもしょうがないよね」的な。

          この手のサービスは何らかの形のパスワードリセットの仕組みを持ってるのが普通だし、
          パスワードリセットができる情報を取得されたらパスワードの暗号化なんて意味が無くなる。

          むしろ重要なのは、#1944963 にも書いてあるけどパスワードの使い回しをしないことの方だな。
          PSNとTwitterとネットバンクで同じパスワードを使い回してる人がいるとすれば、
          まずすべきことはPSNに保存されたパスワードの暗号化ではなく、それぞれに
          別個のパスワードを設定すること。

          親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...