米CNBCがセキュリティ記事を悪用してパスワードを収集・共有していたことが明らかに 26
ストーリー by hylom
これはアウトか 部門より
これはアウトか 部門より
あるAnonymous Coward 曰く、
米ニュース系メディアCNBCが火曜日に「安全なパスワードを作成するためのヒント」という記事を掲載した。しかし、皮肉なことにその記事が人々のパスワードを暴露する結果になってしまったそうだ(PCWorld、TNW、EXTREMETECH、Slashdot)。
問題の記事では、パスワードの強度がどれくらい高いかを調べることができる対話型フォームが用意されていた。このフォームには「娯楽と教育目的のみ使用され、パスワードは保存しない」と記載されている。しかし、実際にはパスワードやトラフィック分析は、Googleドキュメントのスプレッドシートに入力されていたという。またサーバーとの接続は通常のHTTP接続で、データは暗号化されていなかったそうだ。
さらにセキュリティ研究者であるAshkan Soltani氏によれば、CNBCの広告ネットワークや他の関係者に入力されたパスワードが送信されていたという。その証拠として同氏はスクリーンショットを公開している。批判を受けてCNBCは記事を削除したが、各種メディアにスクリーンショット入りで紹介される事態となっている。
pw単体だと (スコア:2)
個人情報に紐付いていないならそんなに責められる程でもないとは思うけど、保存しないと言いつつやっちゃってたのはアウトですね。
最初から、調査のためにパスワード情報を保存しますがアクセス元や個人情報は一切取得しません。
とか宣言しておいたらまだ良かったのに。
それでも入力する人はもうしょうがないし、おそらく多くの人は素のままでは入れないから収集結果は微妙になりそうだけど。
たまに見かける「良くあるパスワードランキング」もこれで出来そう。
実際は、お漏らしされたパスワード情報を元にしてるんだろうけど。
Re: (スコア:0)
> 保存しないと言いつつやっちゃってたのはアウトですね。
最初から悪用するつもりの故意犯も「保存しない」と言うでしょうし、
そうでなくても、「保存しない」と言ったことはバグがないことを保証するものではありませんので、
自衛のためには、あまり信用するなってことですね。
Re:pw単体だと (スコア:1)
イマドキのネットリテラシー(?)だとこうなるのかも
△自衛のためには、あまり信用するなってことですね。
○自衛のためには、信用するなってことですね。
Re: (スコア:0)
ネットを全く信用しないと仕事にならないし不便すぎるので、どこかで折り合いを付けることになると思います。
ただし、パスワード診断なんて、重要じゃないし万一の際のダメージが大きいので、「全く信用しない」で良いと思いますが。
Re:pw単体だと (スコア:1)
こういうのはある程度の危険性を予想した上でお遊びでやるのなら良さそうですね。
本当に自分がメインで利用しているパスワードをこの手のにホイホイ入れちゃう人が居るとヤバイし。
主催者の方も、「実際に利用しているパスワードは入れないように」とでも警告を出しておけば良かったかも。
続けてセキュリティ薀蓄かその手の教育サイトへのリンクも提示しておけば良さそう。
Re: (スコア:0)
他サービスのパスワードを入れさせるようなのは全部信用しないことにしてる。
SNSで、他社メールサービスのアドレス帳やメールボックスにアクセスして友達を探してくれるようなやつとか。
Re: (スコア:0)
暗号化してようが通信した時点でアウト
Re:pw単体だと (スコア:1)
>暗号化してようが通信した時点でアウト
ネットはもう使わないほうが良さそうだね。
Re: (スコア:0)
暗号化してようが通信した時点でアウト
通信した時点でアウトなんだ。
Re: (スコア:0)
別ACですが、理想としては
『暗号化してようが』『通信した時点でアウト』
のはずですね。
パスワードをハッシュ化した値を使って、各種トークンを計算した値をやりとりするというのが正しい。
Re: (スコア:0)
あのう…そのハッシュ化を暗号化というのですよ…
Re: (スコア:0)
Re: (スコア:0)
ククク…不可逆暗号という言葉を知らないようだな…ACは大きなお友達の中でも最弱…
# 最弱なのでAC
Re: (スコア:0)
ハッシュ化は(原理上衝突が必ずあり解読できないので)狭義の暗号化ではありません。
またハッシュそのものやハッシュを加工した値も通信するわけではありません。
帰るまでが遠足 (スコア:2, すばらしい洞察)
事の顛末で緩いパスワード管理のリスクを理解するところまでが「安全なパスワードを作成するためのヒント」
目的 (スコア:2)
>「娯楽と教育目的のみ使用され、パスワードは保存しない」
娯楽と教育には使用するんですね。
Re: (スコア:0)
俺って頭固いなあ、娯楽のまともないいわけが思いつかない
Re: (スコア:0)
「よく使われてるこのパスワードが危ないランキング」を作って公開し、
「111111とか常識的にありえんだろwwwww」みたいに楽しむ。
#まともかどうかはわからない
娯楽と教育目的 (スコア:0)
CNBCにとって娯楽だったんじゃねーの? つーかこんなこと書いてるのに入れちゃうんだ…。
Re: (スコア:0)
社内でコンプライアンス教育のネタに使わせて頂きます
という話かもしれない
Re: (スコア:0)
バカ正直に今使っているパスワードを入力した人はどのくらいいるんだろう
元祖slashdotの記事を見たけど (スコア:0)
コメント中に(自分の?)パスワードを書くと、********になるとあるけど本当?
sradではどうなんだろう?
ちょっとテストしてみます:
anonymous
うーん、釣りか?
Re: (スコア:0)
釣る気があるならせめてIDで書くとか
「うーん、釣りか?」は返信として書くとかしないと・・・
うーん、釣りか (スコア:1)
スラドのログインパスワードで anonymous は使えなかったはず。
ログイン状態でコメント投稿モードを「コード」に変えてパスワードを書いてみればよかったんじゃなかったか。
モデレータは基本役立たずなの気にしてないよ
誰が書いた記事なのか? (スコア:0)
海外の記事なら誰が書いたかの記名が重要だと思うのですが………米スラドのリンクを見る限り「Nicholas Wells [cnbc.com]」氏でしょうか?
いい教訓ではあるんだが (スコア:0)
実行したらあかんタイプだなぁ...
# 警告バリバリなページに遷移して「パスワードを不要に入力するのは危険です password:xxxxx」とか表示するならまだよかったのに