パスワードを忘れた? アカウント作成
13915212 story
Google

Google、「G Suite」の一部パスワードを暗号化せず14年間も保存していたことを報告 36

ストーリー by hylom
うっかり系 部門より

Googleが企業・団体向けサービスであるG Suiteにおいて、同社のポリシーに反してハッシュ化せず平文で保存していたことを明らかにした(Google Cloudブログでの発表CNET Japan)。

G Suiteではかつて企業・団体のドメイン管理者に向けたツールを提供しており、そのツールの機能の1つにその組織のユーザーを手動で設定できるというものがあったそうだ。このツールでパスワードをハッシュせずに管理していたという。なお、この機能はすでに廃止されており、またパスワードに対する不正アクセスや、これらを悪用されたも確認はないとのこと。

  • by Anonymous Coward on 2019年05月22日 20時57分 (#3619412)

    特に LDAP テメーだ
    AD とかと連携させるとなるとさらに

    ここに返信
    • by Anonymous Coward

      さっさとLDIF吐かせてADに統合すればいいじゃないか。

      • by Anonymous Coward

        それちゃう 全域にわたってパスワード変更したいと思ったらどうするのよ
        あと学認というものもあってだな(吐血)

        • by Anonymous Coward

          オフトピなんであまり引っ張らないよ

          ログイン機構をADに移行してLDAPサーバを捨てろと言ってるだけだが。パスワード変えたいならADの管理ツールで変えればいい。
          学認がなにか知らんが、LDAPそのものは捨てられないならGSSAPIでもなんでも使え。
          お前(とその周辺)の知識がポンコツすぎるだけだろ。

  • by Anonymous Coward on 2019年05月22日 20時30分 (#3619394)

    他社の脆弱性見つけて勝手に公表するような悪事を働く前に
    自社のをやれよ

    ここに返信
    • by Anonymous Coward

      こういうことを繰り返して、人間が丸くなっていくんだよ。

      これからGoogleは、他社のシステムのセキュリティー上の欠点について指摘する度に「お前がな」と言い返されるようになる。
      そのうち他人の欠点について何も言わなくなる。

    • by Anonymous Coward

      外部に漏らさなければそれ自体は脆弱ではない。
      生パスであろうがなかろうが情報は漏洩させてはならないし、その経路が実績として保護されていたのだから、
      この際生パスであっても大した問題ではない。

      問題は「同社のポリシー反して」いた点のみ。

      • by Anonymous Coward on 2019年05月22日 22時24分 (#3619481)

        これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。

        人間の良識に頼るのは立派な脆弱性だろう

        • by Anonymous Coward

          このレベルの情報にアクセス可能な人間は契約、待遇、責任等で十分に縛られた人間のみでなければならない。
          そうでないのなら、そのシステムのセキュリティは既に破綻している。
          パスワードだけ見えなければ良い訳がない。
          パスワードが見えない方が良いという主張は妥当なものだが、重要度は相対的に低い。

          • by Anonymous Coward

            それを突破されたときのための暗号化でしょうに。
            重要度は相対的に低いというのも意味不明。パスワードは何よりも重要だろう。
            これが落ちれば、本人になりすましてなんでもありなのだから。

            • by Anonymous Coward

              パスワードのハッシュ化を最高重視する発想は開発寄りの技術者固有のものだと思うのだが、
              経営者やセキュリティ技術者との感覚とは少しズレているのでセキュリティの在り方についてもっと真面目に考えた方がいい。

              直のデータにアクセスを許している状況は既に最悪の段階であって、「パスワードだけは漏洩しなかった」等という言い訳が
              組織ブランドのダメージ軽減に繋がるのではという期待は甘いというか、世間はそんなものを評価したりしない。
              個人情報級の漏洩はそれ自体が十分な大事故だ。ポリシーとして、まずその状況に至ってはならない。
              確かに事故は起こりうるものだが、パスワードだけを守る対策は実際にはあまり意味がない。

              パスワードのハッシュ化保持は、要件が合えばほぼノーコストで実現できるが故にメリットの多い設計ではあるが、
              情報を守るという観点で真摯に考えるなら、パスワードだけでなく、他のデータもレコード単位の
              暗号化を掛けるべきなのではという自問を常に抱えているべきだろう。

              • by Anonymous Coward

                ぜんぜん最悪の段階じゃないと思うけど。
                最悪の段階とはパスワードが漏洩して、本人に成りすましての送金や物品の購入、他人へ迷惑かけることかと。
                漏れたパスワードが使いまわされたら他社のサービスにも影響が出るし、住所や電話番号が漏れるのとはまさに次元が違う。

                あとコストがかかることを知ってるくせに、
                妥協点としてパスワードだけでも守ることに意味がないとか、全くもって何言ってるのか理解できない。

                これでもセキュスペなんだが、あなたのような上から目線の高レベルのセキュリティ技術者の間ではそんな常識なの?

              • by Anonymous Coward

                住所や電話番号があれば新規になりすましてアカウント登録できるの知ってる?
                パスワードはとても大事だが、パスワード以外も大事だよ。ってことじゃない。

        • by Anonymous Coward

          それこそ二段階認証使ってれば、生パスワードが漏れても乗っ取りはムリなんじゃないの?

          もちろん生パスワードよりはハッシュの方がいいし、
          ハッシュでも漏れるよりは漏れない方が良いし、
          単一(一段階認証?)よりは二段階認証の方が良い。

          他にもいろんな情報で認証かけてるから、いつもと違う場所やPCからアクセスしただけで、
          その旨を伝えるE-mailが登録アドレスあてに送られてきたりする。

          セキュリティなんてのはそのトータルで測るものなので、Googleのセキュリティは総じて高い方だと思うよ、

          • by Anonymous Coward

            二段階認証は強制じゃないし、メールが来ようが不正アクセスされた後なら大して意味はない。

          • by Anonymous Coward

            そのユーザーの中にパスワードを他と使い回している人がいたら…?
            とかもあるけどね。

            • by Anonymous Coward

              使い回すような人が2段階認証使ってるとは思えないけどね。

    • by Anonymous Coward

      >自社のをやれよ

      やった結果見てナニ寝言こいてはるんやろか

  • by Anonymous Coward on 2019年05月22日 20時11分 (#3619380)

    生パスワードがネットワークを流れるだけでも嫌な感じ

    ここに返信
    • by Anonymous Coward

      HTTP/HTTPSは大体生パス流してるだろ。

      • by Anonymous Coward

        いまどきのパスワード認証で生パス流すなんてあるの

        • by Anonymous Coward on 2019年05月23日 7時45分 (#3619604)

          他でもない、このスラドがそうなっていますが?

          • by Anonymous Coward

            スラドってパスワード認証なんてあったんだ、知らなかった :)

            • by Anonymous Coward

              スラドってパスワード認証なんてあったんだ、知らなかった :)

              まっさかーもしあったら
              hylomさんが正しいパスワードでログインできないじゃないですか

        • by Anonymous Coward

          POST

        • by Anonymous Coward

          パスワードをformでpostしないWebサイトのパスワードログインって多分1%も無い。
          HTTPSには大抵してるだろうけど、そんなのはこの記事の件でもそうなはずで。
          通信路が暗号化されていてもその上のストリームには生パスが流れているからそういう話になる。

  • by Anonymous Coward on 2019年05月22日 21時16分 (#3619428)

    Googleみたいにカネも能力もある会社でさえこのザマなら、
    セキュアなシステムなんて永遠に無理なんじゃねーの?

    ここに返信
    • Re:ITは人類に早すぎる (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2019年05月22日 22時53分 (#3619494)

      能力にもいろいろあって、あいつらにはコツコツ同じことをする能力は全然ない。
      企業サポートには向かないよ。

      • by Anonymous Coward

        オープンソースでもあるアレかな?
        新しいものや便利になるものを作るってのには多数の人のモチベーションが見込める。
        しかし地味に何時もの通りに動いていて当たり前なものってのには、何人いてもモチベーションが働かずに見逃しだらけ。
        でもコレは金取っての商売だからそれだけじゃマズイだろうに。

    • by Anonymous Coward on 2019年05月23日 6時02分 (#3619585)

      下衆いほど金儲けのことしか頭にない会社だからな。
      どうやって相手を蹴落として利益を独り占めできるかとかそんなことばっかり考えている。

      • by Anonymous Coward

        おそらく一握りの「やる気のある」酔狂な人が頑張っているに違いない。。そう願いたい。

    • by Anonymous Coward

      Systemとは何か?って話ですな。ISMS(Information Security Management System)やQMS(Quality Management System)のように、PDCAを回し、永遠にセキュリティや品質を改善し続ける運用を含めてSystemと考えなければ。完璧な完成品は無理だと結論して諦めて手を止めたら、何も得られない。

      今回のGoogleの件も、生パスワードで保管しないという社内基準をちゃんと定めていて、それに沿っていなかった点に気付いて過ちを直した、という報告であり、改善のサイクルがちゃんと回っている、と言える。ある意味(ISMSやQMSに馴染んだ組織にとって)定番の、安心できるような話と言える。

      ただただ永遠にセキュアなシステムを求め続ける人の営みこそが、セキュアなシステム(系)、ということですね。

    • by Anonymous Coward

      カネと能力があっても、やる気がなかったら出来るものも出来ない

  • 新しいサービスor新機能を始めて人を集める

    サービスor新機能終了

    ユーザーから集めたデータはすぐに削除するのもアレだし…と何となく残しておく

    やがてサービスに関与した社員はいなくなり、データだけが放置される

    こういうのどこの企業にもいっぱいありそう。
    ユーザーにとってはセンシティブな情報の場合もあるので、ちょっと嫌だねえ。

    ここに返信
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...