- 締切済み
Yahoo! ユーザ・パスワード流出について
ユーザ ID だけではなく、1 百万超ユーザのパスワードが漏れていたらしいことを発表しましたが、 これはパスワードのいわゆるハッシュ・リストなのでしょうか。それ以上のことが書かれていないので、何ともわかりません。 それとも、平文のリストでも存在して、それが流出したのでしょうか。 前者の場合は辞書攻撃や総当たりの「事務的」手続きが簡略化されるだけで、さして問題とならないような気がしますが、万一後者なら、なぜそんなリストが存在するのでしょうか。 スーパユーザが一般ユーザのパスワードを知る必要なんてどこにも存在しない(SU は何でもできるので)と思いますが、管理者がそんなものを保存する意義は何かあるのでしょうか。
- mbx
- お礼率10% (26/240)
- その他(ITシステム運用・管理)
- 回答数5
- ありがとう数2
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- ORUKA1951
- ベストアンサー率45% (5062/11036)
>サーバ管理者が平文パスワードを得る目的というのを考えてはみたのですが、一つも思いつきませんでした。 それはないです。 ファイルを作成するプログラムをハッカーがもぐりこませて作成させ、それを後からとりに行くのです。
- ok-kaneto
- ベストアンサー率39% (1798/4531)
今時のシステムでは、一般ユーザのパスワードを平文で保管しているなんてことはありません(昔はありましたけど)。 少なくともWindowsであれば一般ユーザのパスワードを知る方法はありません(管理者にできるのはパスワードをリセットするぐらい)。Unix(Linux)でも同じです。 ユーザID/パスワードを自前で認証システムで用意するにしても、生のパスワードをそのまま保存するのはありえないと思いますが... >管理者がそんなものを保存する意義は何かあるのでしょうか。 生パスワードリストなら保存してないだろうのでなんとも... ハッシュ後のパスワードリストなら認証用でしょうけど。
- ORUKA1951
- ベストアンサー率45% (5062/11036)
一覧を作るプログラムをインストールして、ファイルを作成させる。 その後、そのファイルを盗む。
- ok-kaneto
- ベストアンサー率39% (1798/4531)
http://sankei.jp.msn.com/affairs/news/130523/crm13052321050013-n1.htm 「暗号化したパスワード」ってあるので、ハッシュした結果でしょうね。
お礼
ありがとうございます。 最後の質問についてご意見いただければ幸いです。
- notnot
- ベストアンサー率47% (4848/10262)
現時点のプレスリリースには、「不可逆暗号化されたパスワード」と書いてありますけど。 質問者さんが見てから追記されたのかな?
お礼
ありがとうございます。 メディアの一報ではハッシュだということがわからなかったので、助かりました。
関連するQ&A
- ユーザーパスワードのDBの格納について
あるメーカーのソフトウェアを使用しており、Webからログインするときのユーザ名、パスワードがユーザーデータベースのテーブルに平文で格納されています。 そのソフトで使用しているデータベースはSQL Server 2008R2になります。 平文で格納されているのが気になっており、SQL Server 2008R2を使用してテーブルに格納するパスワードをハッシュ+ソルト+ストレッチングして格納すること仕組みとして可能かどうか気になっております。 もし仕組みとして可能な場合、Webからログインした際にユーザーが入力したパスワードをハッシュ+ソルト+ストレッチングして、テーブルに格納されているハッシュ+ソルト+ストレッチングしたパスワードと比較して認証を行うようにプログラミングは可能でしょうか。
- ベストアンサー
- SQL Server
- パスワードの決め方について(SHA3orHMAC)
パスワードの決め方や保管の方法について、分からなくなってきたので基本から質問させてください。 1.パスワードをホームページ等でネットに公開したら危険ですか? 2.1.はただそのまま公開したら危険なのでやってはいけないと思いますが、暗号化して、パスワードのパスワードがないと解けない状態にして公開しておけば安全ですか? 3.2.の暗号化の手法として、暗号学的ハッシュ関数を用いて、ハッシュ値 h をパスワードにすれば、暗号化したパスワードを公開しても安全ですか? 4.3.について、パスワードにしたハッシュ値 h を公開したのではパスワードをそのまま公開していることになり、危険なため、ハッシュ値 h を算出する暗号学的ハッシュ関数の実行コマンドをホームページ等で公開し、パスワードを確認したいときにはこのコマンドを実行してハッシュ値を得ることにすれば、安全ですか? 5.4.について、暗号学的ハッシュ関数はSHAシリーズなどがありますが、この実行コマンドは広く一般に利用できる状態で提供されているため(ハッシュ計算するソフトウェアやWebサイトなど)、SHAなど既存の暗号学的ハッシュ関数を用いるのではなく、自分で専用に暗号学的ハッシュ関数を考案し、また実行コマンドやソフトウェアを作成する必要がありますか? 6.5.が大変な場合、SHAなど既存の暗号学的ハッシュ関数を用いて4.を実現するにはどうしたらいいですか? 7.4.について、コマンドがパスワードの数だけ存在すると管理が大変です。コマンドは共通にして、オプションスイッチで区別することはできませんか? 8.7.について、コマンドは既存のソフトウェアをあらかじめインストールしておき、オプションスイッチを含む実行コマンド文のみをHP等で公開しておくことはできませんか? 9.6.7.8を実現するには、オプションスイッチのうちのひとつをパスワードのパスワードとして、このスイッチのみを非公開とすれば良いですか? 10.9.について、コマンド文はどのように記述すれば良いですか?たとえばハッシュ関数H()、出力h、パスワードの対となる文字列(IDとかファイル名等)m、パスワードのパスワードをk、||は結合とした場合、 H(k||m)=h と書けると思いますがこれをH(m)として公開し、kはあらかじめPC等コマンドを実行する環境で設定しておけば良いですか? 11.10について、暗号学的ハッシュ関数SHA2シリーズ(256bit等)を用いた場合、Merkle-Damgård 構造であるため、length-extension 攻撃され、危険ですか? 12.10.11.について、暗号学的ハッシュ関数SHA3シリーズを用いた場合、SHA2シリーズのハッシュ関数と異なりスポンジ構造であるため、length-extension 攻撃は成り立たず、安全ですか? 13.12について、length-extension 攻撃以外の危険性はありますか?
- 締切済み
- ネットワーク
- [パスワード作成] 文字列の繰り返し使用について
元になる文字列を【~>o5xJN/】とした時、 以下の質問で作成するパスワードの強度について教えてください。 質問1、途中途中に元のコピーを挟む場合 【~【~>o5xJN/】>o5x【~>o5xJN/】J【~>o5xJN/】N/】 質問2、単純に【~>o5xJN/】のコピーを繰り返した場合 【~>o5xJN/】【~>o5xJN/】【~>o5xJN/】【~>o5xJN/】 質問3、先頭から一定の法則でコピー範囲を広げていった場合 【【~【~>【~>o【~>o5【~>o5x【~>o5xJ【~>o5xJN【~>o5xJN/【~>o5xJN/】 ちなみに3つとも総当たり攻撃と辞書攻撃を 想定したチェッカーで試してみたところ高得点となりました。 総当たり攻撃と辞書攻撃以外での解析方法については知らないのですが、 解析途中で規則性を見つけるツールも存在するのでしょうか?
- ベストアンサー
- ネットワーク
- RSA公開鍵によるクライアント認証について
teratermなどでRSAの公開鍵を使ってクライアント認証ができますが、これはパスワード認証のように総当たり攻撃を食らうことがないので、セキュリティー的に安全だと聞きました。 そこで思ったのですが、RSAの公開鍵を使ったクライアント認証をする場合は、パスワード認証はできないように設定しないとまずいですよね?そうしないと結局総当たり攻撃を食らってしまいますよね? 周りの人はパスワード認証もRSAの公開鍵による認証もできる状態で、後者を使っているのですが、これは意味がないように思えるのですが。。。。
- 締切済み
- その他(インターネット・Webサービス)
- 管理者権限のユーザーが分かりません
私が所属している会社で、管理者権限のあるユーザーとパスワードが分からなくなってしまいました。 WindowsXP Professional SP2です。 元々管理者権限だったユーザーのユーザー名を変更したら、 知らない間に管理者権限が外されてしまったようです。 (通常有り得ないので、誰かがいじったのか・・・?) そして、Administratorユーザーのパスワードも誰も知りません。 はたまた、Administratorユーザーが存在するかすらもう分かりません。 一応、管理者権限ではないユーザーであればログインは出来るようです(多分Userグループ)。 どうにかして、ログインしたユーザーに管理者権限を付与するか、 管理者ユーザー、パスワードが分かる方法はありますでしょうか?(後者は有り得ない・・・) 出来ればリカバリーは避けたいと祈るばかりです。 また、どこにユーザー情報は保持されているものなのでしょうか?分かったら好き勝手にいじれそうですが、 設定するからにはどこかにあると思うのですが・・・。 宜しくお願い致します。
- 締切済み
- Windows XP
- iPhoneでYahoo!メールの使用について
ヤフーのアカウントが2つあります。 一つは昔から使っているものともうひとつはiPhoneのメールで使おうと新しく取得したアカウントです。 前者は問題なくiPhoneの標準搭載のメールアプリから閲覧できました。 しかし後者は何度試しても「メールを取得できません」「imap.mail.yahoo.co.jp’用のユーザー名またはパスワードが間違っています」と出てメールを取得することが出来ません。 前者と後者は全く同じ方法で試しています。 さらに後者はsafariからログインしてIMAP設定用のプロファイルをインストールしても結果は同じでした。 一体なにがいけないのでしょうか? ひょっとして新しいアカウントは何日か待たないといけないのでしょうか? ちなみに他の質問でよく言われてるYahooデリバーの登録は無関係と思われます。 Yahooデリバーに登録していなくてもIMAPで接続したら自動で登録されるはずですし、前者の方のアカウントは実際Yahooデリバーに登録していませんでした。 後者の方のアカウントでもあらかじめYahooデリバーに登録して試してみたものの結果はだめでした。
- ベストアンサー
- iPhone・iPad・iOS
- postgresのパスワードの変更?
PHP+PostgreSQLで開発しているのですが、PostgreSQLのパスワードがわかりません。 まず、PostgreSQLのユーザー(postgres)を作成して、パスワードも設定しinitdbでデータベースを初期化しDBを作っていました。 そしてそのDBを作っていた人が突然夜逃げしてしまったのでpostgresのパスワードがわからなくなってしまい、そこでroot権限でパスワードをpasswdコマンドで変更したのですがDBにpostgresでアクセスできません。 [admin admin]$ su - postgres Password: [postgres pgsql]$ psql -d test Password:←ここでは新たに変更したパスワードを入力しました psql: FATAL 1: Password authentication failed for user "postgres" となります。initdb後にpostgresのパスワードを変更した場合は前に設定されていたパスワードを入力しなければならないのでしょうか? またパスワードを調べる手立てはないでしょうか? List of databases Name | Owner | Encoding -----------+----------+----------- test | postgres | SQL_ASCII template0 | postgres | SQL_ASCII template1 | postgres | SQL_ASCII DBの中はこのようになっています。 宜しくお願いします。
- 締切済み
- その他(データベース)
- 中間者攻撃
SCRAM についてのRFCを見ていたら、 中間者攻撃の話が書いてありました。(ハッシュ値を総当り的に計算して辞書を作っておくなど) 通信経路の途中に割り込んで、盗聴していろいろ悪さをすること。 だと思うのですが、少し疑問が浮かびました。 それは、次の項目です。 1.中間者攻撃に使う機材はどんなものがあるのだろうか? 2.機材の値段はいくらかな?(パラボラアンテナとか、けっこう高そうです。) 3.本来の発信者から、本来の受信者までの通信経路を考えると、 途中のサーバーの中への攻撃を、中間者攻撃と言わない理由は何かな? 4.中間者攻撃による被害で有名なものは何かな? 5.サーバーへの攻撃によるデータ流出の話題が時々出ますが、 中間者攻撃による被害の話題は聞いたことが無いが、実際は、かなり多いのかな? 以上、お暇なときにでも、教えていただければ幸いです。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- グーグルユーザーID(@gmail.com)とは?
先日auショップでガラケー⇒スマホの契約をしました。 その際グーグル・ユーザーIDとそのパスワードを設定したのですが このグーグル・ユーザーID(=~@gmail.com)とは 何に役に立つのでしょうか?何に使うのでしょうか? そもそも元々ガラケー時代からのキャリアメールのアドレスが有りますし存在意義が分かりません。 試しに自宅パソコンからこの~@gmail.comのアドレスに送ってみましたがスマホはなんら反応無です。 是非解説を宜しくお願い致します。
- 締切済み
- au
- ランニングデータの統合
リストウォッチで計測したデータですが、Epson Sensing ID で保存したデータと Epson Global ID で保存したデータとがあり、それぞれのIDとパスワードでアクセスしなければなりません。前者が使えなくなるということですので、これを後者に統合する方法があれば教えてください。 ※OKWAVEより補足:「EPSON社製品」についての質問です。
- 締切済み
- その他(インターネット・Webサービス)
補足
盗むほうはまあ一例としてそういうのはあると思うのですが、サーバ管理者が平文パスワードを得る目的というのを考えてはみたのですが、一つも思いつきませんでした。