パスワードを忘れた? アカウント作成
3820520 story
SNS

LinkedInから650万件のパスワードが漏洩か 25

ストーリー by hylom
ユーザーの方はご注意を 部門より
あるAnonymous Coward 曰く、

ビジネス向けSNS「LinkedIn」は6日、ロシアのハッカーサイトに同社のアカウントのパスワードが掲載されているという報道に対して、実際に同社のアカウントのパスワードが含まれていることを認めた(公式blogITmediaの記事COMPUTERWORLDの記事TechCrunchの記事本家/.)。

報道によると、ハッカーサイトには約650万件のハッシュ化された状態のパスワードが掲載されているという。SHA-1によるハッシュ化がなされているが、salt等は設定されておらず、既に30万件が解読済みだとのこと。同サイトでは、現在解読の協力者を募っているという。情報の流出元や流出した経緯は現時点では分かっていない。

LinkedIn側では、セキュリティ対策を強化するとともに、影響を受けたユーザーにパスワード変更を求めるメールを送るなどの対処を行っている。なお本件を利用したフィッシングメールの危険性もあるため、パスワード変更は必ず正規のWebサイトから行うようにとも呼びかけている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年06月07日 22時21分 (#2169204)

    セキュリティのためパスワードリセットしたよとかメール着やがった。
    流出したとかの説明一切なし。

    ナチュラムよりひどい対応にがっかりした。

    • by Anonymous Coward

      メールを着用したんですか?
      # 「メールが着いた」か「メールが来た」のどっちかだよね

    • by Anonymous Coward

      一日たって経過説明のメールが送られてきた。

      改行がない20行ぐらいの文面で。

      てんぱってるのか?

  • by deleted user (13014) on 2012年06月08日 23時02分 (#2170013)

    Google アカウントか Facebook アカウント使うようにすれば、多少なりともアカウント管理とか、セキュリティのための負担が減るので、そうしたほうがいいと思いますね。

  • 公式 blog [linkedin.com] の記述だと、

    ... the enhanced security we just recently put in place, which includes hashing and salting of our current password databases.

    という事は、対策を取る前は、ソルトはおろか、ハッシュ値でもなかった、とも読めるんだけど、ホント?

    最初に徳丸さんのツイート [twitter.com]を読んで、対策前はソルトなしで、ソルトを付けるようになった、という話かと思ったんだけど、でも、掲載されているデータがソルト無しの SHA-1 だったからといって、LinkedIn がソルト無しの SHA-1 だったという保証はなくて、生パスワードをごっそり持っていて、SHA-1 にして公開した、という可能性もあるかなぁ、と。

    • IT Pro のニュース記事 [nikkeibp.co.jp]によると、とりあえず、ソルト無しのハッシュ値だったみたいですね。

      元米Yahoo!副社長兼最高情報セキュリティ責任者のGanesh Krishnan氏などの専門家で構成されるセキュリティチームのもと、これまでハッシュアルゴリズムによる暗号化のみだったパスワードのデータベースシステムに、ソルト(salt)と呼ばれる暗号強化技術を導入した。

      「ひょっとしたら生?」というのが、私の杞憂だったということで、ちょっとホっとした。

      親コメント
    • by Anonymous Coward

      ソルトもハッシュも法律で義務付けられてるわけじゃないからね。
      平文保存なんて世界中で行われていると思うよ。

    • by Anonymous Coward

      個人的には、非公開の個人情報が盗まれている時点でアウトで、ハッシュ値だからセーフという訳でも無いと思うので、
      平文保存はいかんという論理も少し腑に落ちきらないところがあります。
      管理側の人間にも容易に確認されないようにとの主張もありますが、どちらかというとその他の個人データの方が見られたく無い訳で。
      また、利用者視点では管理側の不正やミスを疑い、パスワードの使い回しは避けるのが当然の姿勢と思います。

      とは言え、このように実際に事故が起きた時、平文で持ってたことがバレるとみっともないとは思うんですよね。

      • 管理側の人間にも容易に確認されないようにとの主張もありますが、どちらかというとその他の個人データの方が見られたく無い訳で。

        容易に確認出来ると、単に「見られる」というだけじゃなくて、「なりすまし」が可能になるわけで...

        単純なハッシュ値だと、レインボーテーブルを使って、短時間で解析可能、という問題はあるので、気休めかもしれませんが、ソルト付きであれば、きちんとしたパスワードであれば、ブルートフォースで見つかるまで、それなりに時間が稼げるので、ソルト付きハッシュ値の形式での流出であれば、発覚してからパスワードを変更しても、充分に間に合う事が期待できます。

        実際のパスワード流出の経路としては、管理サイドからよりも、マルウェアやニセサイトを使った、クライアント側から奪取の方が多いと思うので、こうした、サーバサイドでの努力だけでは防げないのが現実だと思いますが、サーバ側をきちんとしていれば、きちんとしたユーザは救える(少なくとも、エンドユーザがパスワードを変更するまでの時間稼ぎは出来る)ことになります。

        親コメント
        • by Anonymous Coward

          いっそ、既にソルト付きっぽく見えるパスワードを運用してはどうだろう。
          『漏れたパスワードがどんな状態なのかを最終的に判断するのは人間』ということを利用した高度な自己防衛だ!

          # $1$qwertyui$abcdefghijklmnopqrstuv ……ねぇな。

  • by Anonymous Coward on 2012年06月07日 20時38分 (#2169156)

    いくらハッシュ化されてても元の文字列よっては簡単に解読できるんだよねぇ。

    昔、『自分の名前や利用サービス名をハッシュ化して、それをパスワードとして使えば、忘れても簡単に再作成出来るし、文字列としてはランダムでセキュアじゃん!』って思ったけど、案外そうもいかないのよね……

    やっぱり、塩気は大事だよ、うん。

    • ソルトの効用 (スコア:5, 参考になる)

      by JULY (38066) on 2012年06月07日 22時52分 (#2169216)

      やっぱり、塩気は大事だよ、うん。

      手前味噌ですが、塩の効果を書いた事があります。

      塩加減は重要? [hatena.ne.jp]

      「お前じゃ、話にならねぇんだよ」という方には、徳丸さんの記事を。

      ソルトとはなんですか? [atmarkit.co.jp]

      ポイントは、ソルトの効果があるのは、レインボーテーブルによる解析に対してのみ。ブルートフォース攻撃に対する効果はありません。辞書攻撃で解けちゃうようなパスワードは論外。

      もっとも、ブルートフォースなら GPGPU を駆使し一ヶ月かかるものが、レインボーテーブルが使えると、分単位で解ける訳だから、時間かせぎとしては、とっても重要です。

      親コメント
      • ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。

        #ハードコードした似非ソルトを使う誤った用法をよく見かけるので

        親コメント
        • by Anonymous Coward

          > ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。

          そんな必要、ありますか?(理由は?)

          • 個々のアカウント毎にレインボーテーブルを作るコストが発生するからです
            なお、パスデータが漏れる状況ではハードコードした似非ソルトも漏れるものと考えるべきですし、アカウントを自作すればソルトを容易に探索できてしまいます。固定ソルトが分かった時点でレインボーテーブル作成コストは変わらなくなります

            親コメント
          • by nim (10479) on 2012年06月08日 6時48分 (#2169297)

            salt が同一だと、同じパスワードは同じハッシュになってしまいます。
            個別のパスワードの解析に対しては同じですが、パスワードが大量に流出し、
            そこに自分の情報が含まれていたとしたら、同じパスワードを使っている人を特定できますね。

            親コメント
      • by Anonymous Coward on 2012年06月08日 7時09分 (#2169299)

        >手前味噌ですが、塩の効果を書いた事があります。
        「自分で作った味噌でも、塩はとても重要なんだよ」
        と言いたいんですね、分かります。

        親コメント
      • by Anonymous Coward

        素人考えですが、「パスワードのハッシュ値とソルトを保存しておく」って記述を見る度に
        パスワードが漏洩してる状況では、ソルトもセットで漏洩してるから意味無いなと。

        # 実際の実装だと、IDとかメアドとかをこねくり回してソルトを生成してたりするんでしょうか。
        # それでも、プログラムソース流出したら終わるけど

        • by Anonymous Coward on 2012年06月08日 2時59分 (#2169275)

          せっかく2つもリンクつけてくれてるんだから読んでやれよ。
          どんな攻撃にメリットがあってどんな攻撃にまったくメリットが
          ないかわかりやすくかいているんだからさ。

          親コメント
  • by Anonymous Coward on 2012年06月07日 18時45分 (#2169092)

    として欲しいな。

    • by Anonymous Coward

      SNSだと、ハッカー。
      エロサイトだとクラッカー。
      これは、エロサイト利用者に対する差別か?

      • by Anonymous Coward

        エロサイトだとクラッカー。

        そりゃ割れ目目当てでしょうからね

  • by Anonymous Coward on 2012年06月07日 20時12分 (#2169131)

    salt等は設定されておらず、既に30万件が解読済みだとのこと。同サイトでは、現在解読の協力者を募っているという。

    そういう行為って合法なの?
    日本の改正された不正アクセス禁止法的な意味で。

    • by Anonymous Coward

      協力者になってみると分かるかもめ。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...