- 締切済み
Yahoo! ユーザ・パスワード流出について
ユーザ ID だけではなく、1 百万超ユーザのパスワードが漏れていたらしいことを発表しましたが、 これはパスワードのいわゆるハッシュ・リストなのでしょうか。それ以上のことが書かれていないので、何ともわかりません。 それとも、平文のリストでも存在して、それが流出したのでしょうか。 前者の場合は辞書攻撃や総当たりの「事務的」手続きが簡略化されるだけで、さして問題とならないような気がしますが、万一後者なら、なぜそんなリストが存在するのでしょうか。 スーパユーザが一般ユーザのパスワードを知る必要なんてどこにも存在しない(SU は何でもできるので)と思いますが、管理者がそんなものを保存する意義は何かあるのでしょうか。
- mbx
- お礼率10% (26/240)
- その他(ITシステム運用・管理)
- 回答数5
- ありがとう数2
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- ORUKA1951
- ベストアンサー率45% (5062/11036)
>サーバ管理者が平文パスワードを得る目的というのを考えてはみたのですが、一つも思いつきませんでした。 それはないです。 ファイルを作成するプログラムをハッカーがもぐりこませて作成させ、それを後からとりに行くのです。
- ok-kaneto
- ベストアンサー率39% (1798/4531)
今時のシステムでは、一般ユーザのパスワードを平文で保管しているなんてことはありません(昔はありましたけど)。 少なくともWindowsであれば一般ユーザのパスワードを知る方法はありません(管理者にできるのはパスワードをリセットするぐらい)。Unix(Linux)でも同じです。 ユーザID/パスワードを自前で認証システムで用意するにしても、生のパスワードをそのまま保存するのはありえないと思いますが... >管理者がそんなものを保存する意義は何かあるのでしょうか。 生パスワードリストなら保存してないだろうのでなんとも... ハッシュ後のパスワードリストなら認証用でしょうけど。
- ORUKA1951
- ベストアンサー率45% (5062/11036)
一覧を作るプログラムをインストールして、ファイルを作成させる。 その後、そのファイルを盗む。
- ok-kaneto
- ベストアンサー率39% (1798/4531)
http://sankei.jp.msn.com/affairs/news/130523/crm13052321050013-n1.htm 「暗号化したパスワード」ってあるので、ハッシュした結果でしょうね。
お礼
ありがとうございます。 最後の質問についてご意見いただければ幸いです。
- notnot
- ベストアンサー率47% (4900/10359)
現時点のプレスリリースには、「不可逆暗号化されたパスワード」と書いてありますけど。 質問者さんが見てから追記されたのかな?
お礼
ありがとうございます。 メディアの一報ではハッシュだということがわからなかったので、助かりました。
補足
盗むほうはまあ一例としてそういうのはあると思うのですが、サーバ管理者が平文パスワードを得る目的というのを考えてはみたのですが、一つも思いつきませんでした。