アカウント名:
パスワード:
ハッシュじゃなくて生パスワードが漏れたということですか…?
行政に都合の悪い情報は確実に黒塗りするけど、本当にマズいものの黒塗りをしないって何なの。
IDパス漏れたら(IDパスでログインできるシステムなら)誰でもそれ使ってログインできるけどIDハッシュだと(クライアント側でハッシュを生成送信するシステムでなければ)システムに侵入してハッシュを突っ込まないとログインできない。ハッシュからパスを推測するのは困難。
悪用の難易度が全然違うし、そこは安全と言い換えてもいい部分だよ。
これサーバ側の情報じゃなくてクライアント側が使ってるIDとパスワードが漏れたんじゃないの?「職員はこれ使ってログインすること」とか書いてある紙をコピーしてそのまま渡しちゃったんだろう。ここをハッシュにするのは無理だよ。
同じだよ。
客に渡す紙だとしても生パスワードが記載されてるなら保存しない。保存前提ならなら期限付きの登録用ワンタイムパスワードを記載して、客はワンタイムパスワードでログインしてからIDとパスワードの発行を受ければいい。
「生パスワードをサーバーに保存しないこと」これの本質的な意味が分かっていないからこういう間抜けなセキュリティホールができるんだよ・・・
「書類だから生パスワード保存には該当しない」「これは仕方ない」とかもうアホじゃないかと。でもそんなのが大多数を占めてるのが今の日本の業界。溜息しか出ない。
そうじゃなくて、HER-SYSは国のシステムで、大阪市はユーザ側。厚労省から付与されたIDと(おそらく自分で設定した)PWが書かれた紙を情報公開請求に対しマスキングせずに開示しちゃったということかと。産経の記事には
大阪市では2月にハーシスの入力作業を口頭で外部の業者に発注していた問題が判
黒塗り忘れたなんて些細な問題なのよ。そんな書類が存在してる時点でセキュリティ的にアウト。
いやまあIT屋さんとしては「そんなもの持つな」で万事解決、終了!なんだろうけどさ(それはそれで理解はする)、行政機関が情報公開に際して非開示情報を開示したってのは「些細な問題」どころか大問題なんですよ。ID/PW以外にも開示しちゃいけない情報は実際に存在していて、それは「持つな」というわけにはいかないものもあるのでね。
その想定をするには・初回ログイン後のパスワード変更必須なシステムになって *ない*・一定数もしくは全ての職員が共通のアカウントを使っているのどちらかを前提に置かないと発生しないけど、そもそもその想定される運用は問題がありすぎるんでは?
担当者のうちの1人が自分のアカウントで初回ログインした後に、変更したパスワードを忘れないように書類にメモしていた、はありえるのでは?そのアカウントの権限のレベルは分かりませんが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
もしかして (スコア:0)
ハッシュじゃなくて生パスワードが漏れたということですか…?
行政に都合の悪い情報は確実に黒塗りするけど、本当にマズいものの黒塗りをしないって何なの。
Re: (スコア:0)
Re: (スコア:0)
IDパス漏れたら(IDパスでログインできるシステムなら)誰でもそれ使ってログインできるけど
IDハッシュだと(クライアント側でハッシュを生成送信するシステムでなければ)システムに侵入してハッシュを突っ込まないとログインできない。ハッシュからパスを推測するのは困難。
悪用の難易度が全然違うし、そこは安全と言い換えてもいい部分だよ。
Re:もしかして (スコア:0)
これサーバ側の情報じゃなくてクライアント側が使ってるIDとパスワードが漏れたんじゃないの?
「職員はこれ使ってログインすること」とか書いてある紙をコピーしてそのまま渡しちゃったんだろう。
ここをハッシュにするのは無理だよ。
Re: (スコア:0)
同じだよ。
客に渡す紙だとしても生パスワードが記載されてるなら保存しない。
保存前提ならなら期限付きの登録用ワンタイムパスワードを記載して、客はワンタイムパスワードでログインしてからIDとパスワードの発行を受ければいい。
「生パスワードをサーバーに保存しないこと」
これの本質的な意味が分かっていないからこういう間抜けなセキュリティホールができるんだよ・・・
「書類だから生パスワード保存には該当しない」「これは仕方ない」とかもうアホじゃないかと。でもそんなのが大多数を占めてるのが今の日本の業界。溜息しか出ない。
Re: (スコア:0)
客に渡す紙だとしても生パスワードが記載されてるなら保存しない。
保存前提ならなら期限付きの登録用ワンタイムパスワードを記載して、客はワンタイムパスワードでログインしてからIDとパスワードの発行を受ければいい。
そうじゃなくて、HER-SYSは国のシステムで、大阪市はユーザ側。厚労省から付与されたIDと(おそらく自分で設定した)PWが書かれた紙を情報公開請求に対しマスキングせずに開示しちゃったということかと。
産経の記事には
大阪市では2月にハーシスの入力作業を口頭で外部の業者に発注していた問題が判
Re: (スコア:0)
黒塗り忘れたなんて些細な問題なのよ。そんな書類が存在してる時点でセキュリティ的にアウト。
Re: (スコア:0)
いやまあIT屋さんとしては「そんなもの持つな」で万事解決、終了!なんだろうけどさ(それはそれで理解はする)、行政機関が情報公開に際して非開示情報を開示したってのは「些細な問題」どころか大問題なんですよ。ID/PW以外にも開示しちゃいけない情報は実際に存在していて、それは「持つな」というわけにはいかないものもあるのでね。
Re: (スコア:0)
その想定をするには
・初回ログイン後のパスワード変更必須なシステムになって *ない*
・一定数もしくは全ての職員が共通のアカウントを使っている
のどちらかを前提に置かないと発生しないけど、そもそもその想定される運用は問題がありすぎるんでは?
Re: (スコア:0)
担当者のうちの1人が自分のアカウントで初回ログインした後に、
変更したパスワードを忘れないように書類にメモしていた、はありえるのでは?
そのアカウントの権限のレベルは分かりませんが。