パスワードを忘れた? アカウント作成

Google、「G Suite」の一部パスワードを暗号化せず14年間も保存していたことを報告」記事へのコメント

  • by Anonymous Coward

    他社の脆弱性見つけて勝手に公表するような悪事を働く前に
    自社のをやれよ

    • by Anonymous Coward

      外部に漏らさなければそれ自体は脆弱ではない。
      生パスであろうがなかろうが情報は漏洩させてはならないし、その経路が実績として保護されていたのだから、
      この際生パスであっても大した問題ではない。

      問題は「同社のポリシー反して」いた点のみ。

      • by Anonymous Coward

        これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。

        人間の良識に頼るのは立派な脆弱性だろう

        • by Anonymous Coward on 2019年05月22日 22時57分 (#3619497)

          このレベルの情報にアクセス可能な人間は契約、待遇、責任等で十分に縛られた人間のみでなければならない。
          そうでないのなら、そのシステムのセキュリティは既に破綻している。
          パスワードだけ見えなければ良い訳がない。
          パスワードが見えない方が良いという主張は妥当なものだが、重要度は相対的に低い。

          • by Anonymous Coward

            それを突破されたときのための暗号化でしょうに。
            重要度は相対的に低いというのも意味不明。パスワードは何よりも重要だろう。
            これが落ちれば、本人になりすましてなんでもありなのだから。

            • by Anonymous Coward

              パスワードのハッシュ化を最高重視する発想は開発寄りの技術者固有のものだと思うのだが、
              経営者やセキュリティ技術者との感覚とは少しズレているのでセキュリティの在り方についてもっと真面目に考えた方がいい。

              直のデータにアクセスを許している状況は既に最悪の段階であって、「パスワードだけは漏洩しなかった」等という言い訳が
              組織ブランドのダメージ軽減に繋がるのではという期待は甘いというか、世間はそんなものを評価したりしない。
              個人情報級の漏洩はそれ自体が十分な大事故だ。ポリシーとして、まずその状況に至ってはならない。
              確かに事故は起こりうるものだが、パスワードだけを守る対策は実際にはあまり意味がない。

              パスワードのハッシュ化保持は、要件が合えばほぼノーコストで実現できるが故にメリットの多い設計ではあるが、
              情報を守るという観点で真摯に考えるなら、パスワードだけでなく、他のデータもレコード単位の
              暗号化を掛けるべきなのではという自問を常に抱えているべきだろう。

              • by Anonymous Coward

                ぜんぜん最悪の段階じゃないと思うけど。
                最悪の段階とはパスワードが漏洩して、本人に成りすましての送金や物品の購入、他人へ迷惑かけることかと。
                漏れたパスワードが使いまわされたら他社のサービスにも影響が出るし、住所や電話番号が漏れるのとはまさに次元が違う。

                あとコストがかかることを知ってるくせに、
                妥協点としてパスワードだけでも守ることに意味がないとか、全くもって何言ってるのか理解できない。

                これでもセキュスペなんだが、あなたのような上から目線の高レベルのセキュリティ技術者の間ではそんな常識なの?

              • by Anonymous Coward

                住所や電話番号があれば新規になりすましてアカウント登録できるの知ってる?
                パスワードはとても大事だが、パスワード以外も大事だよ。ってことじゃない。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...