Scribble at 2024-07-08 15:21:17 Last modified: unmodified
The largest password compilation with nearly ten billion unique passwords was leaked on a popular hacking forum. The Cybernews research team believes the leak poses severe dangers to users prone to reusing passwords.
100億件の認証情報が漏洩しているという。オンライン・サービスを使っていると困るのが、いくら自分でパスワードを厳しく保護していようと、ログインしているサービス側で漏洩するとどうしようもないということだ。そして、これで困るのが、パスワードをハッシュ化していないという実態である。ハッシュ化してデータベースに保存していれば、ハッシュ値と一方向関数(あと salt)が漏洩しても元に戻すのは非常にコストがかかるわけだが、ハッシュ化しておらず、復号化できるようにしてあれば、これはもうサーバ側から鍵と一緒に漏洩したら終わりである。
ということで、メール・アドレスを入力して(メール・アドレスが ID として使われるからだ。僕は、こういう設計上の慣習はよくないと思っている)、パスワードが漏洩しているかどうかを調べられるサービスがあるということで(これ自体も慎重に利用すべきだ)、調べてみた。すると、MySpace なんかはどうでもいいが、Tumblr や Gravatar も入っていたので、これはさすがにパスワードを変更しておいた。ただ、漏洩を調べられるサービスで教えてくれるのは個々のサービスではなく、パスワードが含まれるデータ・セットの名称だけなので、その名称では何のサービスで漏洩しているのか分からない。Tumblr は tumblr_com、Gravatar は gravatar_com というデータ・セットの名称だから分かるが、それ以外は漏洩しているサービスを特定できないので、まぁ同じメール・アドレスでユーザ登録しているサービスを一つずつ確認したりパスワードを変更していく以外にはないだろう。
こういうことは、僕らがいかに情報セキュリティの実務家であろうと、みなさんと同じリスクにさらされているという実例だ。つまり、サービスの運営側がアホだと、僕らのようなプロでも対処のしようがないのである。