自分のパスワードには常にカンマを含めておけば漏洩してCSVになったときにうまく動かなくなる？「なるほど」「あまり意味がないかもしれない」

新山祐介 (Yusuke Shinyama) @mootastic 「自分のパスワードには常にカンマを含めておけ、そうすれば漏洩してCSVになったときにうまく動かなくなるから」 twitter.com/vxunderground/… 2022-10-09 06:27:24 vx-underground @vxunderground Insert commas into your password so when your credentials are dumped into a CSV it breaks it 2022-10-06 08:58:54 新山祐介 (Yusuke Shinyama) @mootastic 個人的に面白いと思った海外記事のブックマーク。ネタ元はHNやRedditなど。日本語の要約は間違っていることもあるので引用は慎重に。意見はすべて個人的なものです。(2023

[petronius7]

大規模流出する場合は、データの属性を失いかねないCSVじゃなくって、DBファイル直接だろうから、意味ないやね。

[umaemong]

パスワード平文で流出するくらいの技術力なら、ワンチャンあるかも知れない。

[takinou0]

数字だけのパスワードにして、最初を0から始めておくと、エクセルが勝手に0を消してくれるから、漏洩しても無効になるね！

[koda3]

パスワードにカンマを禁止してるところって、ハッシュ化してないのかな？と不安になる今日このごろ。

[gomisute44]

パスワードを平文保存してるようなレベルの会社のプロダクトだと、入力文字列にカンマ含めたら別のバグを呼び出しそう

[dowhile]

本名droptableに改名するか

[twatw]

大人しく全てのサービスで十分な強度のあるランダム生成パスワード使って、パスワードマネージャで管理しろ

[togetter]

この手の話に絶対はないから、何事も過信しないことが大事かもね。

[taruhachi]

通常利用における正常系では問題なくて、漏洩という異常系の処理の時だけ問題が発生するというのは意味不明。むしろ、パスワードの使い回しをしないことの方がずっと重要。

[Iridium]

変に記号入れると二度とログインできないことがあるので気をつけろ。

[m_yanagisawa]

パスワードを平文で保存しているシステム自体が（以下略

[hachibeechan]

サイト運営者と攻撃者の両方が馬鹿じゃないと成立しない絶妙な防衛術

[kazkun]

そもそもパスワードを生のまま保存するようなサービスを使うなという問題なんだけどな。

[hatomugicha]

今時だと微妙かなあ

[Guro]

はねてくれればいいけれど。設定てきて、しかもログインも変更も出来なくなる、という地獄に遭ったらやだな。

[onesplat]

「コンピュータ処理上カンマは厄介」とか言ってる奴の気がしれんが、エスケープも出来ないような奴に漏洩したとしてもどうせ何もできんだろうからそれで救われるケースを考慮する必要はない

[joker1007]

そもそも生成したランダム文字列以外を使うなよ。

[okaz931]

だけどそもそも未だに記号使用不可のところ多くね？

[dot]

まともなエクスポート使えばちゃんとクオートされるので意味なさそう。

[fn7]

アサジエー

[kvx]

漏洩データが外部に流される場合の話かな。dbそのままよりはcsvになることもありそう。

[kkobayashi]

パスワードを平文CSVで保存してる時点で終わりや

[NOV1975]

↓平文保存してると考えてる人の数？

[spark7]

&とか%3Dみたいの入れとくと勘違いして戻したりしてくれるかね。/ 平文云々の人はフォームにインジェクションされたJINSとかの攻撃例を知らんのかな。DBから漏れるばかりが漏洩ではない。

[mobanama]

はてさて

[wordi]

CSVをライブラリ使わずに取り扱う人は、まあいるだろうな

[flont]

カンマ入れたらバグってログインできなくなるWebサービスは世界のどこかにあるかもしれないが、攻撃者側がそんなアホなことはない

[Network]

まずカンマ程度じゃ意味ないと思うけれど。 これで何とかなる程度なら誰か1人カンマ入れてたら、それ以降のユーザー全員救われるんじゃないの？

[six13]

行儀悪いSQL文とか「六四天安門」とかにしておくと世界のどこかでインシデントが起こるかもしれないが、そもそもパスワードとしてどうかという。

[otoan52]

普通のライブラリ使うと回避できるやつですね。正規表現以外でやろうとするとハマるやつ

[Palantir]

一方、日本の大手アプリはパスワードマネジャに標準対応しておらず、またパスワードには記号は使えないのでエラーになるのであった。

[peketamin]

でも悪意のある攻撃者が参照する時は何かしらの手段で一部安易なパスワードは平文化した上で一度CSVに直す可能性がなくも無い気がするので悪くない気もするけど…

[ultimatebreak]

英数字のみ使用可能です。16文字以内で入力してください。ペースト禁止のフォーム。新しいTLDに対応していないメールアドレスのバリデーション。

[aoiyotsuba]

まあ、使える記号限られているサイトも多いけどね。（，’”は使えない事が多い）

[gm91]

そろそろパスワードを２バイト文字にしたい。

[sho]

ちょっと面白い

[chiroruxx]

CSVにするときにエスケープされて終わりでは？

[urandom]

冗談なので本気にしてはいけない（それで害があるわけでもないけど）。パスワードを使いまわさないことが決定的に重要。