並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 21 件 / 21件

新着順 人気順

ハッシュ化の検索結果1 - 21 件 / 21件

  • ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】

    ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】

      ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
    • 何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog

      不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認

        何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
      • メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め

        注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ(36文字)のそれほど長くない列で構成されており、ブルートフォース攻撃(総当り攻撃)によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア

          メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め
        • OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO

          Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す

            OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
          • 「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化

            「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化:ITお嬢様の今日も分かりませんわ~!(1/4 ページ)

              「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化
            • ハッシュ化すれば安全か?

              パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。 可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。 → https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。 それには、次の方法を取る。 「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」 たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。 こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。 ※ 全員が復元できるわけで

                ハッシュ化すれば安全か? 
              • 『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント

                <blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4716770064637993794/comment/blueboy" data-user-id="blueboy" data-entry-url="https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html" data-original-href="https://www.itmedia.co.jp/news/articles/2203/15/news172.html" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.

                  『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント
                • ハッシュ化のソルト(salt)とペッパー(pepper)についてまとめた - Qiita

                  本記事ではスコープ外なので解説しませんが、実用上はストレッチングも用いたほうが良いです。 ハッシュ化とは ハッシュ化とは、元データ(文字列)をハッシュ値(文字列)に不可逆変換することを指します。 ハッシュ化を実行する関数をハッシュ関数と呼びます。 ハッシュ関数は様々な種類があり、md5やsha-256,sha-512,bcryptなどが有名ですが、今回はmd5を使用します! md5関数を使用した例を下記に示します。 <?php print ('ガンダム: '.md5('ガンダム')."\n"); print ('ガンキャノン: '.md5('ガンキャノン')."\n"); print ('ガンタンク: '.md5('ガンタンク')."\n"); ?> //結果 ガンダム: e87f1086f7bf9f59f1ec0b2dd2f320a4 ガンキャノン: e44e4ca716d4df9d1d

                    ハッシュ化のソルト(salt)とペッパー(pepper)についてまとめた - Qiita
                  • 森永製菓、職員など4882件の情報漏えいの可能性 社内システムのIDやハッシュ化パスワードなど

                    森永製菓は6月18日、同社のサーバ機器が外部からの不正アクセスを受け、同社とグループ会社の役職員などの4882件の個人情報が外部へ流出したおそれがあると発表した。 氏名や社内システムのログインID、ハッシュ化したパスワードが含まれていたという。 侵入経路は特定・遮断しており、不正使用などの二次被害は確認していないとしている。 漏えいしたおそれがあるのは、同社とグループ会社の役職員、委託業務従事者の個人情報(退職者、元従業者の一部も含む)4882件。 氏名と会社名、部署名などの所属、社用メールアドレス(@morinaga.co.jp/@morinaga.com)、社内システムのログインID、ハッシュ化したパスワードが含まれていた。 4月9日にサーバーで不審な動作を認知して判明した。現在、外部の専門機関による調査を進めており、個人情報が流出した明確な証拠は見つかっていないが、「漏えいの可能性を

                      森永製菓、職員など4882件の情報漏えいの可能性 社内システムのIDやハッシュ化パスワードなど
                    • 同一画像を判定するためのハッシュ化アルゴリズム - Qiita

                      はじめに インターネット上から収集した画像をもとに機械学習のデータセットを作成するとき、重複した画像の削除が必要です。訓練データに重複した画像があるならまだ良いですが、訓練データ・テストデータの間で重複した画像があると、いわゆるleakageが起きてしまいます。 画像の重複を検出する方法として最も単純なものは、MD5などのファイルのハッシュ値を利用することです。しかしながら、ファイルのハッシュ値は、あくまでも画像ファイルのバイナリ列をハッシュ化したものであり、同じ画像でも保存形式や圧縮パラメータを変えただけでも変化してしまい、検出漏れにつながります。 そこで本記事では、画像の特徴そのものをハッシュ化するアルゴリズムを紹介するとともに、簡単な実験を通してそれらハッシュ化アルゴリズムの特性を見ていきます。 画像のハッシュ化アルゴリズム Average Hash (aHash) 画像の特徴(輝度

                        同一画像を判定するためのハッシュ化アルゴリズム - Qiita
                      • 「ハッシュ化」と「暗号化」、その違いと安全性は?

                        インターネット上で安全にデータを保管・通信するために開発された技術のひとつとして知られる、ハッシュ化と暗号化。しかし、その違いを正確に理解することに難しさを感じる人も少なくないのではないだろうか。この記事では、ハッシュ化と暗号化の違いを明らかにした上で、その安全性について解説する。 ハッシュ化と暗号化の違いは「不可逆性」 ハッシュ化とは特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理を指す。代表的な使用方法としては、パスワードをハッシュ化して保存・管理することが挙げられる。第三者が不正にパスワードへアクセスしたとしても、ランダムな文字列に変換されていることで、悪用されるのを防げるためだ。 ハッシュ化を施すアルゴリズムはハッシュ関数と呼ばれ、ハッシュ関数によって生成されるランダムな文字列はハッシュ値と呼ばれる。ハッシュ関数は入力する元データによって異なるハッシュ値を返す。同

                          「ハッシュ化」と「暗号化」、その違いと安全性は?
                        • bcryptをやめてshaでハッシュ化すべきですか?

                          OWASP セキュリティ要件定義書3.0 (https://github.com/ueno1000/secreq) によれば ハッシュ関数、暗号アルゴリズムは『電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使用すること 広く使われているハッシュ関数、疑似乱数生成系、暗号アルゴリズムの中には安全でないものもあります。安全なものを使用するためには、『電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載されたものを使用する必要があります。 と、あります。 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)※CRYPTRECホームページ https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r4.pdf リストでは、ハッシュ関数とし

                            bcryptをやめてshaでハッシュ化すべきですか?
                          • パスワードをハッシュ化する方法:セキュリティ強化への一方通行

                            認証の主な役割は、ユーザー名やパスワードなど一連の資格情報をユーザーに提供し、ユーザーがアプリケーションへのアクセスを希望するときに正しい資格情報を提供しているかどうかを検証することです。したがって、将来比較を行うときのために、データベースにこうした資格情報を格納する方法が必要となります。しかし、サーバー側に認証用のパスワードを格納するのは難しい課題です。ここではパスワードを安全かつ簡単に格納するメカニズムの1つであるハッシュ化について考えてみます。 パスワードの格納は複雑で危険であるパスワードを格納する簡単な方法は、データベースにユーザー名とパスワードをマップするテーブルを作ることです。ユーザーがログインすると、サーバーはユーザー名とパスワードを含んだペイロードで認証のリクエストを受け取ります。テーブルでユーザー名を探し、提供されたパスワードと保存されているパスワードを比較します。パスワ

                              パスワードをハッシュ化する方法:セキュリティ強化への一方通行
                            • 画像をハッシュ化しRDBMSに記録し、SQLで類似画像を検索する - Qiita

                              概要 大量の画像の中から類似画像を検索するソリューションを開発するとします。 類似画像を検索したいが、その都度ファイルを読み出したり、メモリに乗せて処理するのは速度やHWコスト面で大変です。 検索を容易にするためにはRDBMSを活用するのが楽です。 そのため今回は画像の形状パターンをハッシュ化して予めDBに登録しておき、検索したい画像のハッシュ値とSQLだけで類似画像を検索できるようにします。 画像の形状パターンをハッシュ化するには Avarage Hash(aHash) や Perceptual Hash(pHash) などの手法があります。 Avarage Hash 画像を8x8に縮小してグレースケール化した各点の輝度値の平均値を取り、その平均値と比べ各点大きいか小さいかで2値化して一列にすることで64bit値を取得します。 Perceptual Hash 画像を8x8より大きい適当な

                                画像をハッシュ化しRDBMSに記録し、SQLで類似画像を検索する - Qiita
                              • パスワードはハッシュ化する - 叡智の三猿

                                はじめて作った顧客管理システム わたしがはじめて、顧客管理のシステムを構築したのは1999年です。間近に迫るY2K問題(西暦2000年に世界中のシステムが障害を起こし、パニックになるかもしれない問題)を抱えた緊張のときでした。 きっかけは、当時、在籍していた会社が、ある香水会社の販売代理店の契約を締結したことです。わたしは、顧客からのネット注文に応えるため、簡単なWebサイトと、注文フォームを作りました。注文情報は、sendmailコマンドにより、受注担当者が電子メールとして受付します。担当者がメールで確認した注文内容をアクセスで作った受注画面に登録します。アクセスDBには、商品、顧客などのマスタテーブルと、受注、出荷のトランザクションテーブルを関連付け、出荷情報は経理がエクセルで確認できるよう、ODBC接続をしました。 これは、突貫工事で作った仕組みです。このとき、情報セキュリティを意識

                                  パスワードはハッシュ化する - 叡智の三猿
                                • 大澤昇平🇺🇳 on Twitter: "アンチ氏が受講したと主張する私の公開講座ですが、本当に受講したのか怪しいので、受講生のメールアドレスを二重md5でハッシュ化したリストを公開します。 ここにマッチするメールアドレスを本人が提示できない限りは、すべて悪意あるニセモ… https://t.co/jJxrFudbAc"

                                  アンチ氏が受講したと主張する私の公開講座ですが、本当に受講したのか怪しいので、受講生のメールアドレスを二重md5でハッシュ化したリストを公開します。 ここにマッチするメールアドレスを本人が提示できない限りは、すべて悪意あるニセモ… https://t.co/jJxrFudbAc

                                    大澤昇平🇺🇳 on Twitter: "アンチ氏が受講したと主張する私の公開講座ですが、本当に受講したのか怪しいので、受講生のメールアドレスを二重md5でハッシュ化したリストを公開します。 ここにマッチするメールアドレスを本人が提示できない限りは、すべて悪意あるニセモ… https://t.co/jJxrFudbAc"
                                  • メアドはハッシュ化しても個人情報 | 株式会社DataSign

                                    毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。 当記事で取り上げるのは以下の配信です。 配信日:2021年12月16日 タイトル: メアドはハッシュ化しても個人情報 発表者:データサイン ビジネスディベロッパー 宮崎洋史 「メールアドレスをハッシュ化すれば大丈夫」という誤解 ある企業A社がビジネスで取得した顧客のメールアドレス(xxx@datasign.jpなど)をハッシュ化し、その顧客が閲覧したページなどの履歴情報などと併せて協業先の企業B社に提供していたとします。ところが企業B社がハッシュ化されたメアドを流出させる事故を起こしました。この場合、A社はメールアドレスをハッシュ化したうえでB社に提供しているので大丈夫(個人情報の第三者提供に該当しないので問題ない)でしょうか? データサイン ビジネスディベロッパー 宮崎洋史が説明しました。 「冒頭挙げた

                                      メアドはハッシュ化しても個人情報 | 株式会社DataSign
                                    • 『『『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント』へのコメント』へのコメント

                                      「ハッシュ化保存で現実的な時間内に実現する」→ 本件ではハッシュ化保存はされていない。私が言っているのは「ハッシュ化されていないが、暗号化されている」だ。一般にハッシュ化は「不可逆暗号」とされている。

                                        『『『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント』へのコメント』へのコメント
                                      • WordPressのDBに保存されているハッシュ化されたパスワードの値が気になったので調べた話

                                        今までWordPressやPHPを触ったことは無く、お仕事で必要になりお勉強している初心者です。 初めての分野なので専門家の方なら当たり前かもしれませんが、WordPressが保存するパスワードの形式が気になったので調べたことを書きます。 気になったこと WordPressのDBに存在するユーザーデータを検索したときのことでした。 $ mysql -udbadmin -p -e " SELECT user_login,user_pass FROM db.wp_users;" +------------+------------------------------------+ | user_login | user_pass | +------------+------------------------------------+ | wpadmin | $P$BAK.qXtgo8dRgd

                                          WordPressのDBに保存されているハッシュ化されたパスワードの値が気になったので調べた話
                                        • 今さら聞けないハッシュ化

                                          これは一般に「レインボーテーブル」と呼ばれる攻撃手法です。 こういった攻撃手法に対応すべく、ハッシュ化にはいくつかの工夫がされるのが一般的です。 ソルト Salt(ソルト)はハッシュ化される前の文字列(平文)に付随される任意の文字列です。 例えば、パスワードをハッシュ化するにあたり「ユーザID」をSaltとして使うことで 「同じabcdefgというパスワードを設定しているユーザがいても、出力されるハッシュ値が異なる」 という状態にすることができます。 こうすることで先のレインボーテーブル上にpasswordやadminといったよく使われるパスワードの平文とハッシュ値があったとしても、実際のパスワードの推測がしにくくなります。 ペッパー Saltはその性質上、ハッシュ値と対応して管理されていることが多いです。 上記の例でいうところの、「パスワードのハッシュ値」と「ユーザID」はおそらく同じテ

                                            今さら聞けないハッシュ化
                                          • 今回の応用情報技術者試験でちょうどソルトとペッパーが出題されていました。 「ペッパーを付加してハッシュ化する事でレインボーテーブル攻撃が困難になる理由を、ソルトを用いた処理との差に着目して答えよ」という論述問題です。 模範解答は「ペッパーは安全な領域に格納されており、漏洩リスクが低いため。」等ではないかと言われています。 しかし、例えソルトが流出してもそれはレインボーテーブル攻撃には殆ど役に立たないのでは?と思っています。 むしろ、ペッパーがソルトよりアドバンテージがあるのは、レインボーテーブル攻撃に対し

                                            今回の応用情報技術者試験でちょうどソルトとペッパーが出題されていました。 「ペッパーを付加してハッシュ化する事でレインボーテーブル攻撃が困難になる理由を、ソルトを用いた処理との差に着目して答えよ」という論述問題です。 模範解答は「ペッパーは安全な領域に格納されており、漏洩リスクが低いため。」等ではないかと言われています。 しかし、例えソルトが流出してもそれはレインボーテーブル攻撃には殆ど役に立たないのでは?と思っています。 むしろ、ペッパーがソルトよりアドバンテージがあるのは、レインボーテーブル攻撃に対してというよりブルートフォース攻撃に対してでは?と解いていてモヤモヤしてました。 ペッパーが流出しない事でレインボーテーブル攻撃はより困難になるのでしょうか?

                                              今回の応用情報技術者試験でちょうどソルトとペッパーが出題されていました。 「ペッパーを付加してハッシュ化する事でレインボーテーブル攻撃が困難になる理由を、ソルトを用いた処理との差に着目して答えよ」という論述問題です。 模範解答は「ペッパーは安全な領域に格納されており、漏洩リスクが低いため。」等ではないかと言われています。 しかし、例えソルトが流出してもそれはレインボーテーブル攻撃には殆ど役に立たないのでは?と思っています。 むしろ、ペッパーがソルトよりアドバンテージがあるのは、レインボーテーブル攻撃に対し
                                            1