ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点
不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。 しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん) ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… Hiromitsu Takagi @HiromitsuTakagi …出てきた。しかしそれはもはや「パ
【LINE】ログインに必要な「PINコード」の初期値の決定方法について
LINEのログイン時の認証に、PINコードが導入されることになりました。このPINコードには初期値があるのですが、これについてちょっと触れておきます。 目次 1. LINE PINコード2. LINE PINコードには初期値がある3. LINE PINコードの初期値は電話番号の下4ケタ4. 電話番号って流出してないの?5. 電話番号は流出していないと知っているからこの初期値にした?5.1. どうやって流出元を調べたんだろう6. でも、今後また流出した時にどうなるかはわからない(電話番号も流出するかも)7. PINコードで対策すると決めたなら、初期値はすごく良い8. PINコード以外はなかったのか9. 追記:PINコードが予定通り導入されず スポンサーリンク LINE PINコード 公式アナウンスによると、現在流行しているリスト型攻撃を用いた乗っ取りの対策として、PINコードが導入されます(
【NAVER】NAVER会員情報への不正アクセスに関するお知らせ(続報)
平素は各別のご愛顧をいただき、厚くお礼申し上げます。 2013年7月19日にお知らせいたしました、LINE株式会社が運営するNAVERサービス(NAVERまとめ、Nドライブ、NAVER Photo Album、pick、cafe)の会員情報(以下、NAVERアカウント)に対する外部からの不正アクセスについて、8月2日、不正アクセスを行った人物を特定し、不正アクセスされた会員情報の不正使用、第三者への提供等の痕跡が一切無いことを確認いたしました。 今回の不正アクセスは日本国外の人物によって行われたのもので、弊社と現地警察とで連携し、不正アクセスを行った人物の特定に至りました。 また、本人の自供および現地警察と弊社の技術スタッフによる検証の結果、169万2,496件のNAVERアカウント情報(Eメールアドレス、ハッシュ化されたパスワード、アカウント名(ニックネーム))は弊社スタッフ立会いのもと
LINEアカウントは乗っ取られやすい!?LINEの仕組みと注意すべきポイントまとめ
「たったの15秒間あなたのスマートフォンが操作されただけで、LINEのパスワードが奪われるかもしれません」 LINEにおける「パスワード」や「アカウント」の扱いに関して、いろいろと気になる点があったので、その詳細ついてメモ+注意喚起。 ※重要な追記事項がたくさんあります。頭から最後まで全文読むことをおすすめします。 目次 1. 背景2. 基本知識:パスワードを他人に知られたら何が起こるのか2.1. もしパスワードがバレたら2.2. CASE1: Bさんがアカウントを乗っ取る2.3. CASE2: 突然LINEのデータが消える2.4. CASE3: BさんがAさんのトークを覗き見る2.5. ログイン中の端末をチェックする2.6. 盗み見られているかも、と思ったら3. パスワードがバレたときの悲劇っぷりが凄まじい4. でも、「パスワードがバレたらこうなるのは当然」じゃない?5. ここからが本題
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
