pixiv、パスワードが安全でないアカウントはログイン不可に 65
ストーリー by nagazou
不可 部門より
不可 部門より
pixivが安全なパスワードへの変更のお願いという案内を掲示している。第三者に推測されやすいパスワードを使用している場合、2021年5月10日からpixiv及び関連サービスにログインできなくなくなるという。発表文によると、ログインできなくなったアカウントで接続すると「セキュリティ上の理由により、お使いのパスワードはご利用いただけません」などとする案内が表示されるとしている(pixiv)。
パスワードの変更が必要なアカウントに関しては、現時点でパスワード変更の案内画面が表示されるように変更されているという。案内が表示されないユーザーに関しては変更の対象外であるとしている。ねとらぼが安全なパスワードの判定基準についてpixivに取材したところ、他社におけるデータ侵害により漏えいしたパスワードのハッシュ値のデータベースを元に判定しているという(ねとらぼ)。
パスワードの変更が必要なアカウントに関しては、現時点でパスワード変更の案内画面が表示されるように変更されているという。案内が表示されないユーザーに関しては変更の対象外であるとしている。ねとらぼが安全なパスワードの判定基準についてpixivに取材したところ、他社におけるデータ侵害により漏えいしたパスワードのハッシュ値のデータベースを元に判定しているという(ねとらぼ)。
saltつきハッシュはつかってないの? (スコア:0)
pixivは、saltなしハッシュでパスワード管理してるのかな?
saltつきハッシュで管理してほしい
Re:saltつきハッシュはつかってないの? (スコア:2)
pixivは、saltなしハッシュでパスワード管理してるのかな?
saltつきハッシュで管理してほしい
「第三者に推測されやすいもの」が具体的にどういうのかの例示も無さそうだし。
なんだかふわっとしててぁゃしぃ。
Re:saltつきハッシュはつかってないの? (スコア:1)
saltに加えて、ストレッチングも忘れずにやっておきたいですわ
Re: (スコア:0)
「他社におけるデータ侵害により漏えいしたパスワードのハッシュ値のデータベースを元に判定しているという」というのは、ログイン時には平文のパスワードが手に入るので、それを漏えいしたパスワードのハッシュ値のデータベースと照合しているんだろ。
これだけの情報ではsaltを使っていないとは断定できない。
Re: (スコア:0)
ねとらぼの取材に
> pixiv側ではユーザーのパスワードをハッシュ化し、復号不可能な形で保存しているため、入力時以外に保存されているパスワードを判定することはできないそうです。
と答えているので、格納されているパスワードのハッシュ化方式がsaltなしSHA-1ハッシュと異なる方法なのは確実
Re: (スコア:0)
漏洩したパスワードのリスト(平文)を自社のハッシュ関数に入力して比較していると信じたい。
Re: (スコア:0)
そもそも「Have I Been Pwned」が提供しているのはハッシュ化されたパスワードのリストだからそんなことはやってない
例:
https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
やりすぎでは? (スコア:0)
パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。プライベートゾーンにぺたぺた触られる感じ。
いくらブラウザ上で照合しているから安全だと言われても、それを開発者ツールで毎回確認するなんて手間は取れないし。
不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?
悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。
「パスワードリスト攻撃でアカウント情報が漏洩したらブランドイメージに傷が付きます」とでも言って上を説得したんだろうか。
昨年、度重なるUI改悪で炎上 [twitter.com]したのもそうだけど、社内で仕事にあぶれた技術者が余計な仕事を作り出してる気がする。
Re:やりすぎでは? (スコア:1)
>パスワードという機微情報
パスワードはセキュリティにおける最重要部分じゃないか。
お前は何を言ってるんだ。
Re: (スコア:0)
???お、おう……だから親コメはそう言ってるんだが
(なんだこのトートロジー)
Re: (スコア:0)
>親コメはそう言ってるんだが
一言も言ってない。
> き‐び【機微】 の解説
>表面だけでは知ることのできない、微妙なおもむきや事情。「人情の機微に触れる」
https://dictionary.goo.ne.jp/word/%E6%A9%9F%E5%BE%AE/ [goo.ne.jp]
どこにセキュリティの重要部分の意味がある?
ひょっとしてトートロジーの意味を知らないのかな。
それともまさか、機微と機密が同じ意味だと思ってた?
Re: (スコア:0)
ひょっとして機微情報という用語を知らないのかな。
君の出したそのgoo国語辞書のページにも書いてあるよね。
調べたのは偉いけど不十分な調べ方でマウント取るのはお笑い種だね。
センシティブ情報(セン [goo.ne.jp]
Re: (スコア:0)
そうやって甘やかすから不正アクセスでボロボロ個人情報漏れるんだよ。
そのうち皆の大好きなマイナンバーカードで1段階目認証→各サイトへ遷移して2段階目のログイン認証とか出てくるよ。
Re: (スコア:0)
webサイト開発者は、Javascriptをふんだんに使った今風のUX/UIを作りたがるので、
使いにくくなる印象だな
ハイスペックPCと、高速低遅延の通信回線がないと、もっさりして使いにくい
Re: (スコア:0)
たったイラスト画像1枚しかない単独のページに、Javascript埋め込みまくって5秒も10秒も表示に時間かかってる今のPixivはほんとデザイナーのオナニーサイトになってるよ
まじで首にするべき
Re: (スコア:0)
オナニーサイトと言えばニジエのUIはもっと評価されるべき
Re: (スコア:0)
> 不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?
大多数の金融機関は昔っから二要素認証してるしダメなパスワードを登録・更新時に弾いてるから既存パスワードの棚卸は必須ではない
Pixivは最近まで弾いてすらいなかったから棚卸の必要性もある
比較要素の解像度が悪いから必要性に気が付けないだけだと思うよ
> 悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。
善意の利用者であれば事故・事件に合わない、なんてことはない
また善意だの悪意だのはシステム的には判断しようがない
悪意のある利用者とやらを弾くためには、一策として脆弱なパスワードを廃止するというのは、普通に分かることだと思うよ
Re: (スコア:0)
> 大多数の金融機関は昔っから二要素認証してるしダメなパスワードを登録・更新時に弾いてるから既存パスワードの棚卸は必須ではない
金融機関が脆弱なパスワードを弾き出したのも割と最近のことじゃないですかね。
データベースの拡張に制限があるのか記号は使えませんとか長さは数十文字までとか安全対策が遅れがちな印象。
そういえばpixivも多要素認証対応検討しますみたいなことを昨年1月に言ってて結局まだ実装されてないんですよね。
この調子だと実装した途端に多要素認証必須とかにしてきそうで怖いな。
> 悪意のある利用者とやらを弾くためには、一策として脆弱なパスワードを廃止するというのは、普通に分かることだと思うよ
悪意をもって脆弱なパスワードでサインアップする利用者なんていませんし、いたとしても配慮する必要なんてないでしょう。
Re: (スコア:0)
s/数十文字/十数文字/
Re: (スコア:0)
記号が使えないのはデータベースのせいじゃなくて、
記号が入力できないデバイスからログインする可能性を
考えてのことだったりしないのかな。
「データベースの仕様で」なんてのが理由だとすると、
それは平文のパスワードを保存していることを意味するんだから
全く問題外だし。
Re: (スコア:0)
データベースというか連携システムも含めたの入出力の都合ですかね。
一昔前のネットバンキングは紙ベースでパスワードの申請・郵送をしてたので、どこかの段階で平文のパスワードを扱う必要があったはず。
データベースへの保存はハッシュ化じゃなくて可逆暗号でヨシ!
Re: (スコア:0)
CHAPは可逆な形でパスワードを保存しなければならない(その代わり通信路上ではハッシュ化されている)定期
Re: (スコア:0)
> パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。
あー...いるなこういう人。
もう何十年も昔、SunOSでパスワードの脆弱性検査を走らせたら部長のアカウントが引っかかった。
で、それを伝えたらなぜか激昂。
おそらく飲み屋のねーちゃんの源氏名をパスワードに設定していたからとのうわさ。
# ちなみに私のアカウントも引っかかりました。テヘ
Re: (スコア:0)
その割に2要素認証を未だに実装してないとか、無能な働き者感強い
Re: (スコア:0)
二段階認証は珍しくはないが、二要素認証は「未だに」というほど見かける気はしないな
Re: (スコア:0)
「このサイトでは課金なんてしないから適当な覚えやすい弱いパスワードでいい」
っていうユーザーの選択と利便性を奪わないでほしい
自由ってそういうことだろ
Re:やりすぎでは? (スコア:2, 参考になる)
アカウントを乗っ取られたときの被害者はユーザではなくアクセス管理者です。
そしてアクセス管理者は不正アクセス行為に対する防護措置をとる努力義務があります(不正アクセス禁止法第八条)。
現在の日本の法律ではユーザの権利じゃないんですよそれ。
Re:やりすぎでは? (スコア:1)
Pixivのアカウントで同社の販売サービスであるBooth [booth.pm]にログインできますので、アカウントを盗まれると金銭的な被害が発生する可能性はありそうです。
また、アップロードした画像の権利を乗っ取った人が主張したり、乗っ取られたアカウントからspamや殺害予告出されたりしても困るので、一般論としても弱いパスワードは使わない方が良いのではないかと。
Re: (スコア:0)
> いくらブラウザ上で照合しているから安全だと言われても、
誰がそんなこと言ってるの? どう考えても平文で送信されたパスワードをサーバー側で照合してるんだけど。
想定できること (スコア:0)
想定できるのはこんなことかな
1.ログインできなくなったアカウントを有効にするための有償サービス(詐欺)が出現する
2.ブラウザ上に偽のパスワード変更の案内画面を表示してアカウントを奪取する攻撃が出現する
すべてのサービスが使い勝手悪くなる一方 (スコア:0)
今朝久しぶりにtwitterにログインしようとしたらアカウント名(@で始まる文字列)を入力しろと言われた。自動生成されたランダムなアカウント名なんて覚えてないし、忘れたときにメールで教えてくれる「パスワードを忘れた」に相当するアカウント名の通知機能もなし・・・ってことでログインできずw
Re: (スコア:0)
だからといって私のAnonymous Cowardを勝手に使わないでください。
Re: (スコア:0)
Instagramのanonymousで使えなくなったので、貴方のを使ってるのですが、気分を害されたでしょうか?
Re: (スコア:0)
会社の偉い人「ほらみろ、こんな不便なシステムではダメだ。」
Re: (スコア:0)
ログインしないまま、ブラウザから自分が過去にした
特徴的なツイートを検索すればいいんじゃね?
Re: (スコア:0)
ていうかアカウント名がランダムでもスクリーンネームまでランダムにしてるとは思えないから、単に自分のスクリーンネームで検索すればいいんじゃないの? そうかTwitterがいつまでたってもこのクソ仕様を改善しないのはアカウント名を忘れたユーザーのためだったのか(たぶん違う)
Re: (スコア:0)
まぁ、その程度なら作り直せば?ともおもうけど、
https://help.twitter.com/ja/using-twitter/log-in-issues [twitter.com]
ログインのヘルプ
ユーザー名が思い出せない
っていう項目があるからよく読んでみようね。
Re: (スコア:0)
割と簡単なパスワード+MFAってダメかねぇ?
Re: (スコア:0)
パスワードじゃなくてアカウント名を忘れたんだぞ
Re:そのうち誰もログインできなくなる (スコア:1)
https://inside.pixiv.blog/2020/01/22/180000 [pixiv.blog]
なお、執筆時(2020/1/22)最新の(Have I Been Pwnedの)バージョン5では5億5千万件程度のハッシュ値が含まれており、情報量が大きいので取り扱いには注意が必要です。pixivでは運用との兼ね合いから、一定の漏洩回数以上のパスワードのみをデータベースに格納しています。
この時点では登録時チェックの話だからどってことないが、登録済みにまで適用したら誕生日のパラドクスで誤爆しそう
Re: (スコア:0)
誕生日のパラドクスを考えてもビット数が半分になるだけで、160/2=80ビットにはほど遠い。仮に5億5千万件(約2^29件)全部登録したとしても衝突の確率は2^-(80-29)=0.00000000000004%程度。
Re:そのうち誰もログインできなくなる (スコア:1)
> 「Have I Been Pwned」はハッシュの先頭5桁が一致してるか確認するだけ
というデマをばら撒くのをやめろ。流出リストが巨大すぎるので先頭5桁ごとにファイルを分割してるだけで、各ファイルには残りの35桁が記載されているので、照合確認は全40桁で行うことができる。
ストーリー投稿後8分(ID持ちなら予約投稿の時点で見えるから38分くらい?)でこのコメントが出てくるとは思えないんだけど何かの仕込みなの?
Re: (スコア:0)
毎日の予約投稿時間決まってるのは誰でも知ってるのに、投稿された後すぐに書き込むことのどこか仕込みなんだよ
Re: (スコア:0)
「毎日の予約投稿時間決まってる」ってどういうこと?
Re: (スコア:0)
過去何日かの投稿時間見てくれば?
スラド歴1週間でも気づくことでは
Re: (スコア:0)
ここ数日朝8時に投稿されたストーリーなんて存在しないので何のことを言ってるのかさっぱり
分単位で言っても割とバラバラだし、てっきり編集者がきまぐれで決めてるものとばかり
どういう法則性を見出したのか具体的に説明してもらっていいですか?
Re: (スコア:0)
あ、ごめん、ゴールデンウィークだから今週は違ったね。
土日祝日除いてhylom時代から火曜から金曜は予約記事で朝の3本ノルマみたいなのがあるようで。
その時間に見てたら投稿後すぐにコメント書くことは可能だろう。仕込みでもなんでもないよこれ。
Re: (スコア:0)
「最新」にタレこまれた時点でコメントしたい内容を準備しておいて、掲載されたら即投稿してる(このストーリーではしてないが)
Re: (スコア:0)
ちょっとは関連ストーリー読んでみようか?
全通りブラックリスト入りになったらどうすんの? (#3751717) | pixiv、脆弱なパスワードの登録を行えない仕組みを導入 | スラド [srad.jp]
Re: (スコア:0)
ログイン出来なくなって気付くんだよ、pixivなんて無くても全然困らないじゃんって