パスワードを忘れた? アカウント作成
15822153 story
スラッシュバック

パスワードに『,』を含めておくと、流出時の被害確率が下がるかもしれない 60

ストーリー by nagazou
日本語パスワードって最近話題にならないな 部門より
マルウェアの情報サイトvx-undergroundがTwitterで、パスワードにはコンマを入れておけば、漏洩した資格情報がCSVにダンプされたときにぶっ壊れるからいいよ、とするツイートをして話題となっている。日本語に訳してツイートした新山祐介さんのツイートのレスには「なるほど。「この行を削除したら動く!」みたいな感じで削除される確率も増えるといった納得できる意見も出ている。このほかにも、カンマだけ入れるより「 ,"'--\\\n 」くらい入れるともうちょい防御力上がるのではといったコメントもついている。もっともこの手の文字はパスワードには使えない事例も多いので実用性があるかは議論の余地がありそうだ(vx-underground新山祐介さんのツイートTogetter)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 感想 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2022年10月14日 17時29分 (#4344118)

    「こんまかいな」

  • 過去には実名のVOIDさんやNULLさんが名前を受け付けられない件がありましたが、それもパスワードに応用出来るかな?

  • by Anonymous Coward on 2022年10月14日 17時46分 (#4344130)

    この話をネタと見抜けない人は、プログラムが書けない人、いわゆるエスケープ処理を知らない人たちでしょうね。

    パスワード盗むスキルがある人なら簡単に対処できます。CSVがぶっ壊れるとか、この行を削除したら動くってのは、単なる冗談。

    • by Anonymous Coward

      それは、例えばSQLインジェクションでパスワードを流出させちゃった連中はプログラムを書けない人と皮肉っている?

      • by Anonymous Coward

        世の中にはSQLエスケープ処理を自分で書くアホもいれば、CSVパーサーを自分で書くアホもいるので・・
        なぜライブラリを使わないのだろうか。古代のperl CGIじゃあるまいし。

        • by Anonymous Coward

          つまりそのようなアホがいる以上元コメのように簡単にネタとも断定できないということですね。

        • by Anonymous Coward

          新元号追加→「自分で元号処理書くやつは馬鹿」
          →Windowsの元号処理に不具合発覚→「他人の書いたコードを信用するやつは馬鹿」
          の手のひらドリル事後諸葛亮には笑った

          • by Anonymous Coward

            これはおかしなこと言ってないと思うぞ。
            出来の悪い自作も他作も使うべきではないで両立するからな。
            特にMSなんか信用できないのは当然。
            出来のいいライブラリを使う力が必要なんだよ。

        • by Anonymous Coward

          かきだしだけならたんじゅんなるーぷでいけるし…

    • by Anonymous Coward

      元ネタはダンプ云々いってるからただの冗談だと思うけど、
      流出データ自体がCSVならありえないこともない気がするけどね。
      いろいろ推察して読み方を変えてみても、100%成功するとは限らない。

      • by Anonymous Coward

        それはCSVじゃないだろう。
        CSVならちゃんと

        user,"pass,word"

        となってるから、普通にパーズしてやればちゃんと読める。

        • by Anonymous Coward

          >それはCSVじゃないだろう。
          ちなみに RFC-4180 はこう言ってますね。
          >there is no formal specification in existence,
          >which allows for a wide variety of interpretations of CSV files.
          でもまあこれは20年ほど前の文書。
          「それ(カンマを"で括らないの)はCSVじゃない」と言えるだけの根拠(たとえば公式仕様など)が
          それ以降にできていたのであれば、教えていただければ大変ありがたいです。

        • by Anonymous Coward

          △ user,"pass,word"
          ○ "user","pass,word"

          抜けの可能性があるよりは冗長な方が良い

          • by Anonymous Coward

            じゃあパスワードは「pass","word」と…

    • by Anonymous Coward

      たとえば、100万人のアカウントを盗んだハッカーが、1つのコンマ入りアカウントの対策にそこまでするだろうか?
      もしコンマ入りアカウントが大統領とか要人とか、ターゲットのアカウントなら対処するだろうが、
      特定ターゲットを狙わない攻撃なら、1つのアカウントに手間をかけるとはおもえない

      • by Anonymous Coward on 2022年10月15日 2時57分 (#4344294)

        そもそも「データに紛れたカンマでCSVが壊れる」というのは、CSVを書き出す処理をわざわざ手書きして、「CSVの仕様を満たしてないゴミデータを書き出してしまう可能性のあるダメなプログラム」を作った場合にしか起こらないんだ。

        データに「,」とか「\n」とか「"」を含める場合にどうするかというのはCSVファイルの仕様で決まってる。だから正しいライブラリを使えば、それらを含んだデータでも壊れたCSVファイルにはならない。読み込みも同じく、正しいライブラリに任せれば良いだけ。

        スクリプト言語だと標準ライブラリに含まれてたりする。それ以外の言語でも、だいたいまあ、誰かが作ったちゃんとしたやつはいくらでも公開されてる。まあ、実務だと、ライセンスがー、というのが問題で気楽に使えない可能性もあるけど、パスワード盗むようなハッカーの話だしなぁ(笑)。

        綺麗なデータしか扱わないし、ライブラリを探したり使い方を調べる時間が無駄、というのはあり得るかもだけど、ちゃんと読み書きする処理を書くことまで考えると時間の節約になる。CSVの仕様から調べないとダメだしね。ちょっとした処理の見本として便利だからって、その辺を考慮しないCSV風のデータを読み書きするルーチンが、よく「CSVファイルを読み書きするコード例」として出されちゃってるけど、人にものを教えるつもりで情報発信するならもうちょっと気を使った方が良い。

        親コメント
      • by Anonymous Coward

        そもそもハッカーが100万人単位の情報抜き取るときはSQLデータベースのダンプだからカンマが入ってようが壊れたりしない

        SQLからCSVに変換して二次流通させるときは変換ツール側で自動的にダブルクオートされるから壊れない

    • by Anonymous Coward

      盗む奴と売り捌く奴が同一とは限らないんでは。

    • by Anonymous Coward

      おいやめろ最近寝ぼけてミスした俺の傷に塩を塗るな。

  • by Anonymous Coward on 2022年10月14日 18時13分 (#4344144)

    不用意に扱うとインジェクション攻撃になるような文字列をパスワードに使うとよさそう
    ハッカーじゃなく、サイトのほうがダウンするかもしれないが

    • EICARテスト文字列とかどうだろ

      親コメント
      • by Anonymous Coward

        パスワードをちゃんとハッシュ化しているかどうかがわかるな。平文で保存していると検知される

    • by Anonymous Coward

      不用意に扱うとインジェクション攻撃になるような文字列をパスワードに使うとよさそう
      ハッカーじゃなく、サイトのほうがダウンするかもしれないが

      日本なら普通に業務妨害で検挙されるだろうなぁ

      # なんせ検索アクセスしただけでしょっぴかれるんだもの

      • by Anonymous Coward

        鎖自慢

        • by Anonymous Coward

          鎖ではありません。日本という素晴らしい国に生まれたことを自慢しているのです。

      • by Anonymous Coward

        攻撃者と勘違いされてBANくらいはありえるなあ。
        「緊急性が高かったので回復不可な方法で(SQL直打ちとかで)アカウント情報削除しました」みたいな。お金絡んでるけど返金できませんとか、無用な民事トラブルが長引きそう。

        #主にセミコロン多用してます

    • by Anonymous Coward

      昔会社の勤務管理システムのパスワードをスペース一文字にしたら、ログインできなくなったことがあるわ。
      ダウンしなくとも内部での処理の仕方によっては、色々面倒なことになるかも知れない。
      ……まあ最近のシステムなら、ちゃんと登録前に弾くとは思うけど。

  • ワシならそーする

  • by Anonymous Coward on 2022年10月14日 17時12分 (#4344107)

    新人の頃、動かなかったからやったわ
    今ならツールのオプションとか調べて削除しないでやれるかもしれない

  • by Anonymous Coward on 2022年10月14日 18時55分 (#4344165)

    (大手じゃない)某通販サイトで「,」付パスワードを使っていたのですが、ログインができなくなりました。
    パスワードリセットをし、今まで設定したはずのパスワードを入れたところ、現在使用中のものと同じパスワードですと表示。
    ユーザー名もパスワードもあっているのにログインできないという、どういう処理をしていたのかわからないログイン画面でした。

    • by Anonymous Coward

      こういうケースもアレだけどさ、そもそも「記号は使えません」とか「パスワードに指定可能な文字数は8桁までです」とかってサイトが多すぎて萎える。

      もうパスワード処理とか検索条件の指定方法とか国際標準化してくんねーかなって思う。

      • by Anonymous Coward on 2022年10月14日 20時09分 (#4344193)
        パスワード8文字はDESの制限だから国際標準ではないけどアメリカ政府の規格に従っただけではある
        親コメント
      • by Anonymous Coward

        標準化したって無視される、というか派遣プログラマはそんなものを知らない。

  • by Anonymous Coward on 2022年10月14日 20時06分 (#4344192)

    閉じカッコを削られることで私の解析器も軽くぶっ壊れました。

  • by Anonymous Coward on 2022年10月14日 20時14分 (#4344196)

    そういうツールを作るようなやつはとっくに対策してるような気もするけど
    ワンチャン、うっかり忘れてくれることを祈るばかり

    • by Anonymous Coward

      ハッカーのポカミスで逃げられる可能性はある。 コスパを考えればやる価値はある。

  • by Anonymous Coward on 2022年10月14日 22時37分 (#4344248)

    漏洩したのって生パスワードなのですか?

    • by Anonymous Coward

      あんま真面目にツッコんでもしょうがない話のような気はしますが、まあ件のスーパーハッカーは何とかして
      パスワードを復元したんじゃないかな。そこに行き着かないと意味がないから。
      でもCSVの扱いはちょっと苦手。

    • by Anonymous Coward

      Cryptの仕様を変えて、必ずカンマが入るようにしたら流出しても嫌がらせ出来るかもね。

      • by Anonymous Coward

        この手のハッシュファイルの区切りはコロンが相場なのかと思っていましたが、カンマの文化のとこもあるんですかね…??

    • by Anonymous Coward

      まともなサイトならハッシュだよな。
      だからこの件は最初から的外れ.
      季節外れのエイプリルフールだったのだろうか。

      なおパスワードやログインIDに記号は禁止しているサイトも
      多いと思う。パスワード長が十分長ければ、記号の有無は
      本質じゃないし、記号を入れても嬉しいことはない。

      コンマが入ったらまずいサイトなら、コンマ入りパスワードは
      バリデーションで弾くはず。

      • by Anonymous Coward

        hashをレインボウテーブルで復号したリストってのがあるんですが、ご存じありませんか。

      • by Anonymous Coward

        まともなサイトならそもそも流出しない
        流出するようなところは生パスワードで保存してたりする
        最近もそういう事件があったばかりだよね
        ディスクユニオンの利用者情報が流出か? [security.srad.jp]
        そういう前提での話だからその指摘は的外れ

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...