タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ(36文字)のそれほど長くない列で構成されており、ブルートフォース攻撃(総当り攻撃)によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題(ハッシュ化が行われていなかった)が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。 Googleの発表 cloud.google.com この問題の影響はビジネス向け利用者(G Suite ユーザー)が対象。 無料のGoogle アカウントへの影響はない。 2つの問題が確認され、いずれも修正されている。 問題を悪用した兆候は確認されていない。 確認された2つの問題 No 発生原因 保存内容 影響期間 問題① 管理コンソールのパスワード設定・復元機能バグ パスワード平文のコピー 2005年以降 (問題のツールは削除済) 問題② ユーザーサインアップ時の暗号化された内部システムへの誤保存 パスワード平文の一部 2019年1月以降 (保存は最大14日間) Googleは問題①を20
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化:ITお嬢様の今日も分かりませんわ~!(1/4 ページ)
ハッシュ化すれば安全か?
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。 可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。 → https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。 それには、次の方法を取る。 「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」 たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。 こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。 ※ 全員が復元できるわけで
『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント
<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4716770064637993794/comment/blueboy" data-user-id="blueboy" data-entry-url="https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html" data-original-href="https://www.itmedia.co.jp/news/articles/2203/15/news172.html" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.
G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ | Google Cloud 公式ブログ
Google では、ユーザーのセキュリティを確保するため、パスワードを保存する際は暗号学的ハッシュ関数を用いることをポリシーとしています。しかしながら、この度、一部の法人向け G Suite のお客様に対して、ユーザーのパスワードがハッシュ化されない状態で、暗号化された社内システム内に保管されていた旨をお知らせいたしました。本件は、法人向けの G Suite ユーザーのみに影響を与えるものであり、無償で提供している一般向けの Google アカウントのユーザーに影響はありません。法人向け G Suite の管理者の皆様にはすでに、社員に対してパスワードのリセットを実施いただくようご案内致しています。また同時に、本件に関して徹底した調査も実施し、現時点で G Suite 認証情報に対する不正なアクセス、および誤用の形跡はありませんでした。 一般ユーザーおよび G Suite 法人ユーザーのG
本記事ではスコープ外なので解説しませんが、実用上はストレッチングも用いたほうが良いです。 ハッシュ化とは ハッシュ化とは、元データ(文字列)をハッシュ値(文字列)に不可逆変換することを指します。 ハッシュ化を実行する関数をハッシュ関数と呼びます。 ハッシュ関数は様々な種類があり、md5やsha-256,sha-512,bcryptなどが有名ですが、今回はmd5を使用します! md5関数を使用した例を下記に示します。 <?php print ('ガンダム: '.md5('ガンダム')."\n"); print ('ガンキャノン: '.md5('ガンキャノン')."\n"); print ('ガンタンク: '.md5('ガンタンク')."\n"); ?> //結果 ガンダム: e87f1086f7bf9f59f1ec0b2dd2f320a4 ガンキャノン: e44e4ca716d4df9d1d
はじめに インターネット上から収集した画像をもとに機械学習のデータセットを作成するとき、重複した画像の削除が必要です。訓練データに重複した画像があるならまだ良いですが、訓練データ・テストデータの間で重複した画像があると、いわゆるleakageが起きてしまいます。 画像の重複を検出する方法として最も単純なものは、MD5などのファイルのハッシュ値を利用することです。しかしながら、ファイルのハッシュ値は、あくまでも画像ファイルのバイナリ列をハッシュ化したものであり、同じ画像でも保存形式や圧縮パラメータを変えただけでも変化してしまい、検出漏れにつながります。 そこで本記事では、画像の特徴そのものをハッシュ化するアルゴリズムを紹介するとともに、簡単な実験を通してそれらハッシュ化アルゴリズムの特性を見ていきます。 画像のハッシュ化アルゴリズム Average Hash (aHash) 画像の特徴(輝度
インターネット上で安全にデータを保管・通信するために開発された技術のひとつとして知られる、ハッシュ化と暗号化。しかし、その違いを正確に理解することに難しさを感じる人も少なくないのではないだろうか。この記事では、ハッシュ化と暗号化の違いを明らかにした上で、その安全性について解説する。 ハッシュ化と暗号化の違いは「不可逆性」 ハッシュ化とは特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理を指す。代表的な使用方法としては、パスワードをハッシュ化して保存・管理することが挙げられる。第三者が不正にパスワードへアクセスしたとしても、ランダムな文字列に変換されていることで、悪用されるのを防げるためだ。 ハッシュ化を施すアルゴリズムはハッシュ関数と呼ばれ、ハッシュ関数によって生成されるランダムな文字列はハッシュ値と呼ばれる。ハッシュ関数は入力する元データによって異なるハッシュ値を返す。同
認証の主な役割は、ユーザー名やパスワードなど一連の資格情報をユーザーに提供し、ユーザーがアプリケーションへのアクセスを希望するときに正しい資格情報を提供しているかどうかを検証することです。したがって、将来比較を行うときのために、データベースにこうした資格情報を格納する方法が必要となります。しかし、サーバー側に認証用のパスワードを格納するのは難しい課題です。ここではパスワードを安全かつ簡単に格納するメカニズムの1つであるハッシュ化について考えてみます。 パスワードの格納は複雑で危険であるパスワードを格納する簡単な方法は、データベースにユーザー名とパスワードをマップするテーブルを作ることです。ユーザーがログインすると、サーバーはユーザー名とパスワードを含んだペイロードで認証のリクエストを受け取ります。テーブルでユーザー名を探し、提供されたパスワードと保存されているパスワードを比較します。パスワ
概要 大量の画像の中から類似画像を検索するソリューションを開発するとします。 類似画像を検索したいが、その都度ファイルを読み出したり、メモリに乗せて処理するのは速度やHWコスト面で大変です。 検索を容易にするためにはRDBMSを活用するのが楽です。 そのため今回は画像の形状パターンをハッシュ化して予めDBに登録しておき、検索したい画像のハッシュ値とSQLだけで類似画像を検索できるようにします。 画像の形状パターンをハッシュ化するには Avarage Hash(aHash) や Perceptual Hash(pHash) などの手法があります。 Avarage Hash 画像を8x8に縮小してグレースケール化した各点の輝度値の平均値を取り、その平均値と比べ各点大きいか小さいかで2値化して一列にすることで64bit値を取得します。 Perceptual Hash 画像を8x8より大きい適当な
パスワードはハッシュ化する - 叡智の三猿
はじめて作った顧客管理システム わたしがはじめて、顧客管理のシステムを構築したのは1999年です。間近に迫るY2K問題(西暦2000年に世界中のシステムが障害を起こし、パニックになるかもしれない問題)を抱えた緊張のときでした。 きっかけは、当時、在籍していた会社が、ある香水会社の販売代理店の契約を締結したことです。わたしは、顧客からのネット注文に応えるため、簡単なWebサイトと、注文フォームを作りました。注文情報は、sendmailコマンドにより、受注担当者が電子メールとして受付します。担当者がメールで確認した注文内容をアクセスで作った受注画面に登録します。アクセスDBには、商品、顧客などのマスタテーブルと、受注、出荷のトランザクションテーブルを関連付け、出荷情報は経理がエクセルで確認できるよう、ODBC接続をしました。 これは、突貫工事で作った仕組みです。このとき、情報セキュリティを意識
bcryptをやめてshaでハッシュ化すべきですか?
OWASP セキュリティ要件定義書3.0 (https://github.com/ueno1000/secreq) によれば ハッシュ関数、暗号アルゴリズムは『電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使用すること 広く使われているハッシュ関数、疑似乱数生成系、暗号アルゴリズムの中には安全でないものもあります。安全なものを使用するためには、『電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載されたものを使用する必要があります。 と、あります。 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)※CRYPTRECホームページ https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r4.pdf リストでは、ハッシュ関数とし
大澤昇平🇺🇳 on Twitter: "アンチ氏が受講したと主張する私の公開講座ですが、本当に受講したのか怪しいので、受講生のメールアドレスを二重md5でハッシュ化したリストを公開します。 ここにマッチするメールアドレスを本人が提示できない限りは、すべて悪意あるニセモ… https://t.co/jJxrFudbAc"
アンチ氏が受講したと主張する私の公開講座ですが、本当に受講したのか怪しいので、受講生のメールアドレスを二重md5でハッシュ化したリストを公開します。 ここにマッチするメールアドレスを本人が提示できない限りは、すべて悪意あるニセモ… https://t.co/jJxrFudbAc
メアドはハッシュ化しても個人情報
メアドはハッシュ化しても個人情報 2022年2月15日 毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。 当記事で取り上げるのは以下の配信です。 配信日:2021年12月16日タイトル: メアドはハッシュ化しても個人情報発表者:データサイン ビジネスディベロッパー 宮崎洋史「メールアドレスをハッシュ化すれば大丈夫」という誤解ある企業A社がビジネスで取得した顧客のメールアドレス(xxx@datasign.jpなど)をハッシュ化し、その顧客が閲覧したページなどの履歴情報などと併せて協業先の企業B社に提供していたとします。ところが企業B社がハッシュ化されたメアドを流出させる事故を起こしました。この場合、A社はメールアドレスをハッシュ化したうえでB社に提供しているので大丈夫(個人情報の第三者提供に該当しないので問題ない)でしょうか? データサイン ビジネスディベ
『『『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント』へのコメント』へのコメント
「ハッシュ化保存で現実的な時間内に実現する」→ 本件ではハッシュ化保存はされていない。私が言っているのは「ハッシュ化されていないが、暗号化されている」だ。一般にハッシュ化は「不可逆暗号」とされている。
今までWordPressやPHPを触ったことは無く、お仕事で必要になりお勉強している初心者です。 初めての分野なので専門家の方なら当たり前かもしれませんが、WordPressが保存するパスワードの形式が気になったので調べたことを書きます。 気になったこと WordPressのDBに存在するユーザーデータを検索したときのことでした。 $ mysql -udbadmin -p -e " SELECT user_login,user_pass FROM db.wp_users;" +------------+------------------------------------+ | user_login | user_pass | +------------+------------------------------------+ | wpadmin | $P$BAK.qXtgo8dRgd
今さら聞けないハッシュ化
これは一般に「レインボーテーブル」と呼ばれる攻撃手法です。 こういった攻撃手法に対応すべく、ハッシュ化にはいくつかの工夫がされるのが一般的です。 ソルト Salt(ソルト)はハッシュ化される前の文字列(平文)に付随される任意の文字列です。 例えば、パスワードをハッシュ化するにあたり「ユーザID」をSaltとして使うことで 「同じabcdefgというパスワードを設定しているユーザがいても、出力されるハッシュ値が異なる」 という状態にすることができます。 こうすることで先のレインボーテーブル上にpasswordやadminといったよく使われるパスワードの平文とハッシュ値があったとしても、実際のパスワードの推測がしにくくなります。 ペッパー Saltはその性質上、ハッシュ値と対応して管理されていることが多いです。 上記の例でいうところの、「パスワードのハッシュ値」と「ユーザID」はおそらく同じテ
【Python】Tkinterによる40行で作るGUIアプリ「ハッシュ化ソフト」 - Qiita
はじめに 私の研究分野であるブロックチェーン技術において、ハッシュ関数はめっちゃ大事な技術の一つです。今回はそのハッシュ関数の一種であるSHA256を使って、簡単にハッシュ値を生成できるものを作っていきましょう!コマンドプロンプトに出すだけだと面白くないので、Tkinterを使ってGUIアプリを作成していきます。 ハッシュ関数の具体的な内容に関しては、ブロックチェーン技術及び関連技術の記事にありますので、興味があれば、ぜひこちらをご参照ください。→ ハッシュ関数の詳細(ブロックチェーン技術及び関連技術) 完成するとこんな感じに動きます! 環境 Windows 10 home Python 3.7.1 ハッシュ関数(SHA256)によるハッシュ化ソフトの制作 インポート 使うライブラリは以下の2つです。 hashlibをインポートすることで、ハッシュ関数SHA256を使うことができるようにな
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
![[速報]Google、Geminiベースの新WebIDE「Project IDX」をオープンベータで公開](https://cdn-ak-scissors.b.st-hatena.com/image/square/8438c3438b794040be5432db0fc072a04b0cb2c3/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2024%2Fproject-idx-openbeta01.png)
![[みんなのケータイ]そろそろ何とかして欲しい、おサイフケータイの初期化](https://cdn-ak-scissors.b.st-hatena.com/image/square/2e57bb8b64219fe44091a2bc5d584dd618f55169/height=288;version=1;width=512/https%3A%2F%2Fk-tai.watch.impress.co.jp%2Fimg%2Fktw%2Flist%2F1591%2F477%2F2k.jpg)
ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた - piyolog
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化
ハッシュ化のソルト(salt)とペッパー(pepper)についてまとめた - Qiita
同一画像を判定するためのハッシュ化アルゴリズム - Qiita
「ハッシュ化」と「暗号化」、その違いと安全性は?
パスワードをハッシュ化する方法:セキュリティ強化への一方通行
画像をハッシュ化しRDBMSに記録し、SQLで類似画像を検索する - Qiita
WordPressのDBに保存されているハッシュ化されたパスワードの値が気になったので調べた話
ameblo.jp/meijin16shot
learn.microsoft.com
qiita.com/toRisouP
frankyoshida.com
www.asahi.com
www.bloomberg.co.jp