パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる」記事へのコメント

  • by Anonymous Coward on 2017年04月13日 19時51分 (#3193160)

    これ、Web参照は停止しているってあるけど根本の
    DB側に不可逆なハッシュではなくて生パスワードもしくは可逆的なハッシュで保存されているって事だよね。
    どこの素人が設計した?そしてその問題は解決してないんだろうな。

    • by ymasa (31598) on 2017年04月13日 21時48分 (#3193222) 日記

      >どこの素人が設計した?そしてその問題は解決してないんだろうな。

      すべてはお客様からの要件によって作られた仕様によって開発をします。
      なかにはパスワードがわからないと困るから平文でと言われることもあります。

      #それでも一応可逆暗号して保存することもありますけどね。

      親コメント
      • by Anonymous Coward

        そういうとこって、正直つき合いたくないユーザーが多いというか。。

        これ以外にもトンデモ仕様があることがほぼ確実視出来ちゃいますね。

      • by Anonymous Coward

        客が「パスワードくらいハッシュして管理しろ」と言っても「うちのシステムは対応しておりません」と言う
        製品を売る会社もいっぱいあるぞ。

        社内各部署がセキュリティ部門の相談しないでそういう製品を買われちゃうと、もうどうしてよいのやら...

    • by Anonymous Coward on 2017年04月13日 21時01分 (#3193190)

      いつも思っちゃうけど別にそんなパスワードばっかり守る必要なくね?
      正直ハッシュ化して欲しいのは他の情報の方なんだけど(笑え)

      親コメント
      • by Anonymous Coward

        たとえば何の情報をハッシュ化してほしいのかな?

        • by Anonymous Coward

          たとえば何の情報をハッシュ化してほしいのかな?

          真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

          #なんで年に2回も漏洩事件にぶち当たるかなー

          • by ymasa (31598) on 2017年04月14日 7時43分 (#3193347) 日記

            真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

            そもそもクレジットカード番号は保存してはいけない。

            親コメント
            • by Anonymous Coward

              クレジットカード番号の保存してもいいんじゃないの?
              セキュリティーコードの保存は禁止されてるけど

              • by Anonymous Coward

                クレジットカード番号の保存してもいいんじゃないの?

                保存する必要性がない。
                クレジットカードを登録するとクレジットカードサーバーからIDが割り振られるので
                以降はそのIDで取引をします。以降カード番号は必要ないです。
                クレジットカード会社からはクレジットカード番号は保存しないように言われます。

              • by Anonymous Coward

                誰かが決めたルールでゆるされているかどうかは、大きな問題ではないよ。
                自分でかんがえなさいね。

              • by Anonymous Coward

                昔はカード番号でやり取りするシステムあったけど、最近はID連携ばかりですね。

                #API叩けばマスクされた番号は取得できたりするのもあるけど

              • by Anonymous Coward

                >> #API叩けばマスクされた番号は取得できたりするのもあるけど

                下4桁しか表示されないのって
                他を隠してるんじゃなくて実際に保存してなかったりするのかね。

                内部実装がどうなってるかは利用者にうかがい知れないけど。

              • by Anonymous Coward

                下4桁しか表示されないのって
                他を隠してるんじゃなくて実際に保存してなかったりするのかね。

                内部実装がどうなってるかは利用者にうかがい知れないけど。

                そうですね。確認の為に有効期限と下4桁~3桁のみ残しますが、それ以外は
                クレジット会社のサーバーから来るIDしか残しません。

                残しませんって言われても利用者にはわからないでしょうけども、運営会社
                だって残したくありませんよ。

                最近はクレジット登録やら銀行引き落とし登録をすると一旦クレジット会社の
                サイトに遷移して戻るようにもなってきています。

            • by Anonymous Coward

              真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

              そもそもクレジットカード番号は保存してはいけない。

              PCIDSS3.0(最新は3.2だけど、英語嫌いだから勘弁してくれw)によると、

              PCIDSS 要件3: 保存されるカード会員データを保護する
              3.4 以下の手法を利用して、すべての保存場所でPANを少なくとも読み取り不能とする
              ・強力な暗号化をベースにしたワンウェイハッシュ
              ・トランケーション
              ・インデックストークンとパッド
              ・関連するキー管理プロセスおよび

          • by Anonymous Coward

            クレカは使用者を特定する必要があるのに、コリジョンが発生する可能性があるハッシュ化をしてどうする気なんだ?
            ハッシュの使い方や使う目的を、きちんと理解してる?

            • by Anonymous Coward

              >コリジョンが発生する可能性があるハッシュ化をしてどうする気なんだ?

              コリジョンの発生しないハッシュ化すればいいのでは?

              >ハッシュの使い方や使う目的を、きちんと理解してる?

              あなたがね。

    • by Anonymous Coward

      可逆的なハッシュ

      ちょっと待って欲しい
      それは、単なる暗号化データであって、ハッシュとは呼ばないのではないだろうか?

      • by Anonymous Coward

        暗号化キーまで一緒に流出しなければ多少マシになるのでは?

        • by Anonymous Coward

          ハッシュの暗号化キーって何だよw

    • by Anonymous Coward

      これですよね。
      照会するための情報が何かってことはゴミのような話で、抑照会可能なシステムであることがダメ。

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...