パスワード管理、企業と個人が陥る落とし穴
NPコミュニティチーム
51Picks
コメント
注目のコメント
本日はありがとうございました。
私がお伝えしたかったのは以下のポイントです。
DBにソルト付きでハッシュ化して保存してるのは何のためですか?という問いには「万が一サイバー攻撃や内部犯行によってレコードがダンプされた際にも(実質上の)IDのみの流出に止めるため」という答えが正しいものだと考えます。
今回の事象では社内のログレコードとは言え平文でパスワードが保存されていたわけです。
それも3.3億個分。
いくら内部調査により実害なしと言おうと、このご時世最もセンシティブなwebサービス提供者による情報の収集の中でも最も神経質にならざるを得ない情報に、レコードを観れる全ての人々がアクセスできたわけです。
「全ての人」の定義には当然ログ監視要員やすでに攻撃に成功して内部システムに潜伏している攻撃者も含め考えるべきです。
このようなペルソナは得てしてこのような事態を心待ちにして潜伏するわけであり、その観点からはあってはならないクリティカルなミスだといえるでしょう
ユーザーの皆さんは直ちにパスワードの変更と、本日のnews picksの記事にもpickされているように、いわゆるダークウェブ等での流出したパスワードの販売への”水面下での”発展も見据えた、当該サービス以外で同じパスワードを使っている場合には変更が必要でしょう。今日は西尾さんにご出演いただきました。
私もTwitter愛用者なので、この一件にはびっくり。
社内でのパスワード管理も徹底して欲しい。
そして個人的にはパスワードを変えまくってわからなくなるのでどうにかしたい・・。
全て指紋でログインとかできればいいんだけどなぁ‥(できるのかな)