ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】

ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴：2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴：2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】

[anoncom]

ドコモ「サイト内に限って復号したパスワード表示するけど、サーバー内では厳重に管理してるし外部通信には載せないから大丈夫だよ」って言ってるけど、そうじゃない。

[amajeje]

id:blueboy それネタで言ってるんじゃなければ君セキュリティの基礎2日目ぐらいからやりなおしだぞ。1日目は先生の自己紹介の日だ。

[a-kuma3]

「厳重に」は時代遅れ過ぎる。バグをゼロにしろとか、24時間365日連続稼働とか、未だにそんなことを言ってるのはいっぱいいるんだけれども

[ockeghem]

徳丸本初版（2011年3月）の功績の一つが「パスワードはソルト化ハッシュ+ストレッチングで保存すること」を「常識」にしたことだと密かに思っている

[uchiten]

宅ふぁいる便の事件を知らないわけがなく、問題視されるまで黙っておこうという決定が社内であった（表向きは今回言ってる通り「安全と判断した」）か、もしくは誰も検討議題にあげなかったならさらに終わってる。

[Tetrapost]

何年か前にYahooやdocomoのメールはTLSで送受信してないぞってGoogleがレポートしてたの思い出して、見たら今も相変わらずだった😫 https://transparencyreport.google.com/safer-email/overview 今回の記事といい試されてるなぁ

[isle1992]

「暗号化の概念を知らない」と言ってる方は「暗号化する意味」を知らない

[urandom]

一種のインフラ系としてだいぶ古い感覚が残っているんだろうなあと思うことはある

[Kil]

平文か可逆暗号かハッシュかというところ、記事を見た限りハッシュでは無いことだけ確定していて、平文か可逆暗号かについては特定されてないと思うんだけど、決め付けで話をしてんの？

[cider_kondo]

さすが、よりにもよってひろみちゅ先生に向かって『ハッシュ値という概念を知らないのでは？』 https://b.hatena.ne.jp/entry/s/b.hatena.ne.jp/entry/4702888761904497442/comment/blueboy と寝言吐いた人は格が違った

[kmaebashi]

昨日スマホを買い替えて、店頭でdアカウントこれですかとパスワードの平文が入った紙を見せられて目を剝いたけど、こういうことであったか。

[moromoro]

大手でも全然あるで・・・2010年代前半にリプレースしたシステム持ってるとこは危ない。ちょうどクラウド流行り始めた頃のあるある。

[gutmond]

「パスワードを教えろ」という客が多いのだとしたら、非可逆にすると外部のパスワード再設定代行業者が出てくると思う。

[s025236]

システム的に隔離されているユーザー毎に異なる十分長さをもった秘密鍵を使って暗号化してあればターゲット特定したブルートフォースには弱いがハッシュ化にこだわらなくても大事にするほどではないと思うけどダメ？

[amd64x64]

とはいえ違法ではないんじゃないの。

[comoselab]

ソフトバンクの認めるところもすごいし、ドコモは論外。でかい会社でぬくぬく働いてるエンジニアを想像するとなんだかなぁって感じ。

[nebokete]

宅ふぁいる便が終わった時に、自分ごととは思わなかったのかな。

[Foorier]

正直各サービスでどう扱われてるかわからんのでMFA有効化+PWは使いまわさないしかない気がする

[sujata_hr2]

セキュリティは必要条件であり、問い合わせが多いだとか、利便性だとかは必要なセキュリティを満たさないことを正当化しない。当たり前のことやで。

[nankichi]

“平文保持”この見出しがおかしいんじゃない？"複合化可能な状態でパスワード保存"とかにすればよかったのでは

[tamanecoplus]

もし定期的に脆弱性診断を実施してるなら真っ先に指摘されるもの

[kobito19]

何か前も話題になったような...？その時もユーザのリテラシ考えると云々という意見見かけた記憶が

[tune_tuber]

パスワードが流出したとき、暗号化されていても、可逆だった場合には平文の流出と同じ扱いを受けるんだよねぇ。

[kako-jun]

平氏が源氏に負けた理由は、たいらのふみほじってサムライが、大事な暗号をテキトーに保管して解かれたからって昔話を作って、高齢者（経営者と利用者）を教育すればいいと思う

[osugi3y]

この件に関してはFacebookでさえしていたことなのでパスワードに関しては多重認証をユーザー側で設定するしかないのかとも思います。

[matsuedon]

マジカー

[murlock]

「パスワード全体を平文で保持」せずに「平文を個別に提供する」システムが出来れば世界を変えられるのでぜひお披露目してほしい。／ロリポップのDBもパスワード開示してくれるんだよねぇ

[stealthinu]

擁護したくはないが状況はわかりそう。きっとパスワード忘れて教えて欲しいという問い合わせがものすごい数あり、再設定するという選択をしてくれにくいユーザーなのだろうなと。

[kyo1man]

PW忘れた人を手っ取り早く処理するのにセキュリティより利便性を優先したってこと？

[deep_one]

設計の時「普通解読可能な形では保存しないからパスワードは教えられないし、別システムにうつすのも割と無理」ってよく説明しているのだが、大手がやってしまうのでは「みんなやってる」とか言われてしまう（怒）

[maemuki]

アラァ今はどちら様もご縁が無くなりました ご多幸をお祈りいたします。

[sumomo-kun]

パスワードリセットはできても、パスワードを教えることはできないはずだよね。

[perl-o-pal]

auはパスワード平文で保存してないかもだけど、4桁の暗証番号はどうだろうね…。ハッシュ化してても秒で解けそうだが。

[Lat]

知っていたし問い合わせしたこともある。これがまだ修正されないのは、管理者がユーザーのパスワードを把握してなければならないと言う考えの下にあるのか？普通は管理者はユーザーのパスワードは把握していない。

[shiju_kago]

セキュリティ意識が低すぎる奴が散見されててつらい。漏洩したときに万が一つでも復号可能な状態であればそれは平文保存と同じなんだよ。ハッシュ化してもブルートフォースで突破可能な短いパスワードもアウト

[mysql8]

IT後進国

[fut573]

あら、話題の人、不可逆のハッシュ化していれば、平文のパスワードを"お客様に教える"こともできないあたりからか

[zyzy]

古めのシステムはまぁ大体こんな感じよなぁ。そもそも銀行の暗証番号とかなんてそれ以前だし／騒がれている人非表示済みだった