前回に引き続き、今回もパスワードのハッシュについて記事にしていきます。
最近は以下のニュースが世間を賑わせてしますね~
「宅ふぁいる便」への不正アクセス、顧客情報約480万件の流出を確認
このニュースについても少し触れていこうと思います。
宅ファイル便のニュースについて
同社によると、1月22日午前中に本来存在しない不正なファイルを同サービスのサーバ内で発見。調査を進めるなか、同日19時に不審なアクセスログを確認、翌23日に同サービスを停止した。
同月25日15時半に顧客情報約480万件の流出を確認。流出したデータには、同サービスの利用者に関する氏名や都道府県、生年月日、性別、業種、職種、ログイン用のメールアドレス、パスワードなどが含まれる。同サービスより退会している場合も影響を受けた可能性があるという。
参考:http://www.security-next.com/102026
さてここで流出したパスワードですが、データベースにハッシュして保存されていなかったとのことです。
通常、データベースにパスワードを保存する際はパスワードはハッシュして保存しています。
みんなそれが普通だと思っているでしょうが、脆弱性診断をしているとそうでもなさそうなことが結構あります。
パスワードが平文で保存されてる可能性がありそうということです。
どういった時にわかるの?
まずはパスワードリマインダーを使用した際に登録されているパスワードがメール本文に反映されている場合はかなり怪しいです。
ハッシュして保存している場合、元の値は登録した本人以外わかりません。
なので、登録されているパスワードの値をメールに記載することはできません。
暗号キーを適切に保存してパスワードを暗号化しているなら可能でしょうが、そういった実装は見たことはなく、大体平文で保存していると私は考えています。
パスワードの保存についてはハッシュして保存が一般的だと思われていますが、ハッシュされて保存されていなかったからといって、法律で罰則があるわけではありません。
※「PCI DSS」や「ISMS」等の審査では引っかかる可能性はあるかな?
なので、我々が色々なアプリケーションを使用する際はそのような可能性もあることを考慮してアプリケーションを使用する必要があるということですね。
パスワードについては以下の記事で話したとおり、自分で強度を高めたり、サイト毎にパスワードを使い分けたりする必要があると考えています。
最後に
今回のニュースは結構大きく取り上げられたこともあるので、今後のサイトの構築時にパスワードのハッシュが大部分のサイトで必須になるでしょう。。。
平成27年の総務省の内容ですが、「全体で4割以上のサービスがパスワードのハッシュ化を行っておらず、特に無料のサービスでは7割がハッシュ化を行っていない。」ということになっています。
総務省「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」
ある程度の漏洩のリスクを考慮する必要があると考えています。
少なくともパスワードの使いまわしはやめるようにしましょうね。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント