10周年のSPコンテンツ!

TINAMIのパスワードが平文でやりとりされていることへの危惧と、それへの公式回答

TINAMIのパスワードが平文保存され、平文でやりとりされていることに気付いた方と、それへのTINAMIからの回答。 [2011/07/31 18:35 修正] まとめ tweet 中、「パスワード平文保存とか」という文言があり、タイトルもそれに倣いましたが、公式アカウントの @tinami_info より「DBには暗号化して保存している」旨回答がありましたので、タイトルを 「TINAMIのパスワードが平文保存されていることへの危惧と、それへの公式回答」 続きを読む
インターネット セキュリティ TINAMI
14
giginet @giginet
でもTinami、APIがちゃんと完備されててスゴいなぁ。プログラマ的にはPixivよりありがたい
giginet @giginet
Tinamiに登録してみたが、登録した瞬間パスワードが平文で送られてきた。こんなサービスに登録したくない・・・・・・。
giginet @giginet
パスワード平文保存とか、カオスラウンジなんかよりよっぽど悪質じゃねーかw
Yoshiyuki Nakamura @nakayoshix
wwwwwwww “@giginet: Tinamiに登録してみたが、登録した瞬間パスワードが平文で送られてきた。こんなサービスに登録したくない・・・・・・。”
榊そら @dasoran
@tinami_info RT @giginet: Tinamiに登録してみたが、登録した瞬間パスワードが平文で送られてきた。こんなサービスに登録したくない・・・・・・。
giginet @giginet
@dasoran おい、公式垢に投げんなwwwwww
榊そら @dasoran
@giginet いや、これくらいクリティカルなついーとだとセキュリティポリシーかわるかなってw
keyray @Keyray7
和製ネトゲではふつーだったなぁ、登録しまくったのは2年位前なので今どうかしらんけど。 RT: @giginet: Tinamiに登録してみたが、登録した瞬間パスワードが平文で送られてきた。こんなサービスに登録したくない・・・・・・。
giginet @giginet
@reviyatan プログラマ的にはなぜむしろこっちが問題にならないのかと思いますwww
るしゃな/つばさ@秋季例大祭D01b @reviyatan
@giginet 重要性が視覚的に素人にわかるかどうかが問題ですからねえ・・・まあ仕方がないのでは・・・
TINAMI @tinami_info
@dasoran @giginet 申し訳ないんですが現状これでいいとは思ってないものの今すぐどうにもならないので、心配であれば登録しないのが吉です。嫌味でもなんでもなく。
giginet @giginet
公式垢から回答来たwww
giginet @giginet
@dasoran 公式回答を悪意を持った言い方をすると「セキュリティ意識の低い方だけ登録してください」ってことかな
isidai @isidai
@giginet @dasoran TINAMIはOpenIDログイン、制限付きだけど普通に開放すればいいのに。そうするとGehirnIDで認証できるよwwwwぐふふwwww

以下、上記以外の方々と、TINAMIさんのやりとりとか。

@addle
@tinami_info 登録しましたー。登録時にパスワード平文でメール送るのはちょっと・・・。
くも @qmore
@tinami_info 登録時の登録確認メールにパスワードが平文で送られてきたのですが これは変えたほうがいいかと思います…
有希猫tale @ayano_fox
@tinami_info 新規登録させて頂きましたが、パスワードが平文でメールに記載されているのが少し不安になってしまいます。
TINAMI @tinami_info
再起動したサーバのレプリケーションエラー修正したらそちら着手しますのでちょっとお待ちくださいませ! RT @ayano_fox: 新規登録させて頂きましたが、パスワードが平文でメールに記載されているのが少し不安になってしまいます。

不具合修正されたらし。

TINAMI @tinami_info
【不具合修正】新規登録時の確認メールでパスワードを平文で送る不具合を修正しました。パスワードは直接送られませんので、入力したものを忘れないようにお願いいたします。また、生年月日を適当にいれていると取り寄せることが出来ませんので、こちらもご注意ください。

DB上では暗号化されている旨、公式アカウントから回答。

TINAMI @tinami_info
さっきの平文パスワード修正の件ですが一応補足しておきますが、データベースの格納は平文じゃないです。すべて暗号化してありますのでご安心ください。
TINAMI @tinami_info
@lolicsystem すみません、修正を告知した後、わりとすぐに呟きで言及していますので追加しておいて頂けないですか。よろしくお願いします。 >DBには暗号化して保存している旨
残りを読む(2)

コメント

@lolicsystem 2011年7月31日
とりあえず重要と思われる文言を赤くしてみました。
@lolicsystem 2011年7月31日
パスワードを平文で送ってたのが修正されたらしいので、そのtweetを追加。
Oakbow@千波矢 @Oakbow7 2011年7月31日
これって、「DBに平文でパスワードを保存」しているわけではないのかな?確認メールについてのみ言及されているので、DBでも平文ならセキュリティリスクはまだ相当に大きいのだけれど。
@lolicsystem 2011年7月31日
DBに平文で保存してるか否かについては、公式な言及が無いので、なんとも言えないですね。 TINAMIさんの説明待ちかと。
@lolicsystem 2011年7月31日
公式アカウントからDB上には暗号化された形でパスワード保存している旨回答がありましたので、そのtweetを追加しました。
Oakbow@千波矢 @Oakbow7 2011年7月31日
対応早いw 単に表現の問題だと思うけど、暗号化=ハッシュ化のことなのかな?と疑問を加えてみる。ただの暗号化であればセキュリティリスクが下がっているとは言いにくいので。
Oakbow@千波矢 @Oakbow7 2011年7月31日
普通の暗号化(可逆変換)なのかハッシュ化(不可逆変換)なのか質問したので、そのやり取りを追加しました。後者の場合運営側にもパスワードが分からないので、データ漏洩時などのセキュリティリスクを減らすことが出来ます。
@sandriver 2011年7月31日
本当に不可逆変換してるんだったら、そもそも平文でユーザーに通知する事が不可能なはずでは。
@trapon 2011年7月31日
各ユーザごとの種の値を知っていればハッシュ化されているはずのパスワードを通知することができるはず!(って、それはいいのか?) ハッシュには種を仕込む http://tech.bayashi.jp/archives/entry/perl/2007/001974.html passwordのより安全な保管方法(saltとは何か) http://kaede.to/~canada/doc/password-and-salt
Oakbow@千波矢 @Oakbow7 2011年7月31日
ユーザー登録の最後にメール送信してるんだから、一連の処理では入力されたパスワードをまだ保持しているし、平文のまま送信できてもおかしくないでしょう。仮にそれができない実装だったのだとしても、今回両方まとめて修正したのかもしれないし。
Oakbow@千波矢 @Oakbow7 2011年7月31日
暗号の分野で種(シード)は別の意味を持ちますので、saltの意味で使うのは避けた方がよいでしょう。で、saltが分かろうが分かるまいが、ハッシュ化されたパスワードから平文のパスワードを知る確実な方法はありません。リンク先の記事を誤解しているのでは。
MD2TAK(夜用) @md2tak 2011年7月31日
一度しか送信されないメールよりも何度も使うログイン画面がSSLでないことを心配した方がいいかもしれません(Pixivも同様ですが)。
セルフ執事 @SF_yomi 2011年7月31日
md2tak さんの指摘の方が大切。送られるパスワードが平文で喚いてる人は、なんか色々勘違いしてるよね。
Masaki Matsushita @_mmasaki 2011年8月1日
ダイジェストではなく、暗号文を保存しなければならない理由は何なんだろう。 >「データベースの格納は平文じゃないです。すべて暗号化してありますのでご安心ください。」
Masaki Matsushita @_mmasaki 2011年8月1日
md2takさんの指摘は正しくないと思う。 盗聴のリスクのみに関しては確かにログイン画面でSSLが利用されない事の方が予測される通信の回数からみて大きいと考えられるが、パスワードを復号可能な状態で保存しているという事は、パスワードを入手された上でDBサーバに侵入されれば全ユーザのパスワードを入手されてしまう恐れがある。 md2takさんはこのリスクを評価していない。
Masaki Matsushita @_mmasaki 2011年8月1日
話の流れからすると「すべて暗号化してありますのでご安心ください」というのは「パスワードを平文で送るのはまずかったから止めたけど、DBにはもともと暗号化して保存していたから安心してね」という意味だと考えられるので、パスワードは復号可能な状態で保存されているのではないでしょうか。
セルフ執事 @SF_yomi 2011年8月1日
Glass_saga 登録の時に一回平文でパスワードが送られるのは分る? その情報からユーザー情報をシステム登録してパスワードのハッシュ値を計算して格納して、自動生成でメールを送って、送信が完了したら危険な情報は消してコミットする。というのが良くある流れかと。
セルフ執事 @SF_yomi 2011年8月1日
そしてユーザー登録画面や、ログイン画面を、SSL対応にして置くと、経路盗聴に対して有効って事ね。
Masaki Matsushita @_mmasaki 2011年8月1日
なるほど。つまり「すべて暗号化してありますので」の「暗号化」とは、メッセージダイジェストの生成を指している可能性が高いという事ですね。 > SF_yomi
セルフ執事 @SF_yomi 2011年8月1日
DBを暗号化してるんだと思う。もちろん、DBの管理者権限を盗まれたらそれすら無力だけど、そこまで行くと何がなんだってどうしようもない。平文でギャーギャー喚くのとは別次元の話しなってくる。
セルフ執事 @SF_yomi 2011年8月1日
あと書いておくと、「メッセージダイジェスト」が何を意味してるのか、読み切れてないんだけどどっかの開発環境の方言ぽいから、良いよね。
Masaki Matsushita @_mmasaki 2011年8月1日
となると、「データベースの格納は平文じゃないです。すべて暗号化してありますのでご安心ください」というのは、「登録時にパスワードが平文で送信されていたがそれはユーザの入力を保存せずにそのまま送信していた。DBへはダイジェストを保存していて、ダイジェストからパスワードを求める事は事実上不可能だから安心しろ。」という意味だと考えれば良いのか。
Masaki Matsushita @_mmasaki 2011年8月1日
「メッセージダイジェスト」というのは、与えられたデータに任意の暗号学的ハッシュ関数を適用して得られる値の事をいいます。これは、開発環境に依存した方言ではないと思います。 > SF_yomi
セルフ執事 @SF_yomi 2011年8月1日
Glass_saga わぉ、粒度って言葉知ってる? 
Masaki Matsushita @_mmasaki 2011年8月1日
「残りを読む」をクリックしたら、「不可逆変換です」という公式のアナウンスが出てくるじゃないか・・・。なぜ最初に気づかなかったんだろう。登録時に送られてくるメールにパスワードが平文で載せられていたのは、単に平文を破棄する前にメールを送っていたからで、復号可能な状態でDBに保存していた訳ではないんだな。
Masaki Matsushita @_mmasaki 2011年8月1日
粒度という言葉は知っていますが、なぜここで「わぉ、粒度って言葉知ってる?」と言われるのかはよくわかりません。 > SF_yomi
Oakbow@千波矢 @Oakbow7 2011年8月1日
私の質問と回答の手前でちょうど切れちゃってますね。ついこの前のソニー(PSN)の漏洩事件でも言及がありましたが、一般になじみの薄いハッシュ化という言葉の代わりに暗号化という言葉で説明されることが多いので、本当に暗号化なのかどうか改めて聞かないと分からないんですよね。かといって「暗号化って言葉は間違いだ」とも言いづらく。
Oakbow@千波矢 @Oakbow7 2011年8月1日
DBの暗号化はサーバのHDD引っこ抜かれるなどといった、DBサーバの認証を経ないアクセスには効果を発揮します。が、Webサービスで発生する漏洩事件はたいていDBサーバの認証を正常に通過しているので、暗号化はパフォーマンスを悪化させるばかりで効果の低い対策と言えます。(管理者権限は関係ありません)。通常パスワードの漏洩対策に使われることはありませんし、仮に暗号化していても、パスワードのハッシュ化は別途必要です。
セルフ執事 @SF_yomi 2011年8月1日
Oakbow7 DB暗号化が有効ではない。とは思えないんですが、DBのユーザー設計の問題も絡みますし……。パスワード平文(騒ぐ程の事じゃない)とは違った話をして、悪印象を与えたいという意思は分りました。
Oakbow@千波矢 @Oakbow7 2011年8月1日
Webサービスでパスワードを平文でDBに記録するのは正直ありえない実装で、セキュリティをまともに考慮していないと疑われるレベルです。騒ぐほどのことなので質問しています。Web開発に携わっている人であればご理解頂けると思ったのですが。。。
Oakbow@千波矢 @Oakbow7 2011年8月1日
あと、DB暗号化が全くの無駄とは言いません。多くのWebサービスではDBアクセスがボトルネックになるのに、さらにそのパフォーマンスを低減させるだけのメリットがないから選択されにくいと言うだけの話です。「暗号化」という言葉はそれだけでセキュリティリスクを低減させるように感じる便利な言葉ですが、どういう局面で効果があり、どういう局面で無力なのかきちんと考える必要があります。
Oakbow@千波矢 @Oakbow7 2011年8月1日
ついでに、パスワードをなぜ平文でDBに記録してはいけないのか、その理由はこのあたりをご覧ください。 http://neta.ywcafe.net/000123.html 正直Web開発者としては当たり前の知見ですし、Glass_sagaさんの疑問が理解できるのではないでしょうか。
セルフ執事 @SF_yomi 2011年8月1日
日本語の読み方・使い方講座を日本語で行なう事は難しい。
Oakbow@千波矢 @Oakbow7 2011年8月1日
仰る意味が分かりませんが、コメント欄でこれ以上の説明は難しいです。当方のコメントを理解する意欲がおありであれば、以後はTwitter上でお願いします。Web開発関係者でなければ必ずしも理解する必要はありませんが。
YU-HI @yuhiyuhi 2011年8月2日
いまどきありえない実装なのに、最初の時点でその意識が薄い。さらに「2011/07/31 12:59:17」には「今すぐどうにもならない」と言っているのに「同 16:41:16」には不具合修正が完了している。つまりウソをついてた。この2点、非常にセンスがないと感じる。
ログインして広告を非表示にする
ログインして広告を非表示にする