アカウント名:
パスワード:
ここ最近だと、類似なのはこれぐらい?
・楽天・niconico・mixi・softbank・sony・panasonic・JCB・LINE - New
正直、この中に実際に漏らしたのがいるんじゃないかって気が...
ぱっと見そう思いたくなりますけど、実際は
Aサービス - 漏れるとして
被害の度合いAサービス - ID/Passが合っているので(ログイン失敗がほぼない)、ポイントの利用など見えてこないと不明
その他 - ブルートフォース/辞書/リバースブルートフォースなどではない程度かつ失敗がそれなりにあるログイン多数ということで気付く
になって、まったく別のサービスから漏れててもわからないと思います。# とはいえ「このAとサービスを併用してそう」、と思える程度の関連性がある所から漏れてそうではありますが...
そういう意味じゃなくて、具体的な成功率とか明かしていないところもいるので、「他社が漏らした」でごまかしたところがいるんじゃないかって意味ですよ。これだけ同時期に広範囲だと、ある程度メジャーなところから漏れたのは間違いなさそうだし。
あー、なるほど、それはたしかに。
ちょっとサービス提供者を善意にみすぎました。
実害ではなく「便利な言い回し」の方が広範囲に浸透し始めている、と。
この手でなぜか忘れ去られてるけれど、フィッシングとかマルウェアの存在は?この状況を考えると、換金性が良ければ自分で使うかもしれないが、換金性が悪いとか使用済とかでも数があれば売れそうだし、プロ的には集めて売る方と買って換金する方と分業になるだろうし。
プレスリリースから考えると、不正ログインを受けたアカウントははっきりしているのだろう。もしアカウントの所有者から正確な情報が得られるなら、同じパスワードを使用していたサービスを特定できる。複数の被害者からサービスのリストを得られれば、情報を漏洩したサービスの絞り込みもできそうな気がする。
あるいは警察は既にある程度漏洩元のサービスを特定していて、捜査がその段階に達しているという情報を得ている上での「他社パスワード」という表現なのかも。
パスワードがそのまま漏れてるということは平文でパスワードを保存してるってこと?
平文でパスワードを保存する企業が絶滅する前に、人類の方が滅ぶと言われてるからな
独自の暗号化ロジックで変換したパスワードでもなければ、 ハッシュ値を一致させるだけですむよ。 同じパスワードを入力する必要はない。パスワードのハッシュ値を保存して原型を保たなければ安全なんていうのは、 都市伝説。
あんな物ハッシュ値のデータベースを作ってしまえば、あとは検索するだけでハッシュ値から必要なパスワードを取得することは出来る。まぁ、手間はかかるけどね。MD5とSHA256あたりで作っておけばわりと逆算出来るんじゃないかなと。
パスワードは、 複雑さよりも長さが大事といわれるのは、 こういうこと。
#2621190氏はちょっとかじった知識を披露したいだけだから、そういうツッコミはかわいそうだ・・・
実際、生パスワードで保存してるバカもいるし、ソルトなしでさらに1回のハッシュで安心してる残念なトコもいるだろう。
# ソルト付きでストレッチングもしっかりやろうぜ
任天堂もあるよん。http://www.nintendo.co.jp/support/information/2013/0705.html [nintendo.co.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
どこが漏らしたんだろう? (スコア:2, すばらしい洞察)
ここ最近だと、類似なのはこれぐらい?
・楽天
・niconico
・mixi
・softbank
・sony
・panasonic
・JCB
・LINE - New
正直、この中に実際に漏らしたのがいるんじゃないかって気が...
Re:どこが漏らしたんだろう? (スコア:2)
ぱっと見そう思いたくなりますけど、実際は
Aサービス - 漏れる
として
被害の度合い
Aサービス - ID/Passが合っているので(ログイン失敗がほぼない)、ポイントの利用など見えてこないと不明
その他 - ブルートフォース/辞書/リバースブルートフォースなどではない程度かつ失敗がそれなりにあるログイン多数ということで気付く
になって、まったく別のサービスから漏れててもわからないと思います。
# とはいえ「このAとサービスを併用してそう」、と思える程度の関連性がある所から漏れてそうではありますが...
M-FalconSky (暑いか寒い)
Re:どこが漏らしたんだろう? (スコア:2, 興味深い)
そういう意味じゃなくて、具体的な成功率とか明かしていないところもいるので、
「他社が漏らした」でごまかしたところがいるんじゃないかって意味ですよ。
これだけ同時期に広範囲だと、ある程度メジャーなところから漏れたのは間違いなさそうだし。
Re:どこが漏らしたんだろう? (スコア:1)
あー、なるほど、それはたしかに。
ちょっとサービス提供者を善意にみすぎました。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
実害ではなく「便利な言い回し」の方が広範囲に浸透し始めている、と。
Re:どこが漏らしたんだろう? (スコア:1)
この手でなぜか忘れ去られてるけれど、フィッシングとかマルウェアの存在は?
この状況を考えると、換金性が良ければ自分で使うかもしれないが、
換金性が悪いとか使用済とかでも数があれば売れそうだし、
プロ的には集めて売る方と買って換金する方と分業になるだろうし。
Re: (スコア:0)
プレスリリースから考えると、不正ログインを受けたアカウントははっきりしているのだろう。
もしアカウントの所有者から正確な情報が得られるなら、同じパスワードを使用していたサービスを特定できる。
複数の被害者からサービスのリストを得られれば、情報を漏洩したサービスの絞り込みもできそうな気がする。
あるいは警察は既にある程度漏洩元のサービスを特定していて、捜査がその段階に達しているという情報を得ている上での
「他社パスワード」という表現なのかも。
Re: (スコア:0)
パスワードがそのまま漏れてるということは平文でパスワードを保存してるってこと?
Re:どこが漏らしたんだろう? (スコア:1)
平文でパスワードを保存する企業が絶滅する前に、人類の方が滅ぶと言われてるからな
Re: (スコア:0)
独自の暗号化ロジックで変換したパスワードでもなければ、 ハッシュ値を一致させるだけですむよ。 同じパスワードを入力する必要はない。
パスワードのハッシュ値を保存して原型を保たなければ安全なんていうのは、 都市伝説。
あんな物ハッシュ値のデータベースを作ってしまえば、あとは検索するだけでハッシュ値から必要なパスワードを取得することは出来る。
まぁ、手間はかかるけどね。
MD5とSHA256あたりで作っておけばわりと逆算出来るんじゃないかなと。
パスワードは、 複雑さよりも長さが大事といわれるのは、 こういうこと。
Re: (スコア:0)
Re: (スコア:0)
#2621190氏はちょっとかじった知識を披露したいだけだから、そういうツッコミはかわいそうだ・・・
実際、生パスワードで保存してるバカもいるし、ソルトなしでさらに1回のハッシュで安心してる残念なトコもいるだろう。
# ソルト付きでストレッチングもしっかりやろうぜ
Re: (スコア:0)
任天堂もあるよん。
http://www.nintendo.co.jp/support/information/2013/0705.html [nintendo.co.jp]