compuer-01-logo

GmailやHotmail、Yahoo!、そしてロシアで広く使われている「Mail.ru」などのウェブメールサービスから、合計2億2700万件というとてつもない数のメールアドレスとパスワードがセットになって流出していたことが判明しました。詳細は各サービスとも調査中とのことですが、気になった人は念のためパスワードを変更しておいたほうが良さそうです。
http://gigazine.net/news/20160506-big-data-breache-found-major-email-service/

だそうです

最近はあまりこういうニュース聞かなかったと思うのに、久しぶりに聞いたら規模が大きすぎですよね

前に何かの流出があったときはたしか自分のアドレスが対象かを確認できるサービスを用意してくれていたと思うのですが、今回はいまのところなさそうです

こういうのあるたびに思うのですが、毎回ユーザにパスワード変えてもらうのじゃなくてサーバ側でどうにかしてほしいです

さすがにユーザが入力したパスワードをそのまま保存するところなんてないはずですし、データベース保存用に変換したデータが盗まれたとわかったならデータベースのデータをまとめてある規則で変換としてくれればユーザは何もしなくても済むのに

ユーザが設定したパスワードが「password」で、データベースに入れるときには「逆にして最後に123をつける」というルールだったら「drowssap123」がデータベースに入っています
これを盗まれたらクラッカーは「drowssap123」というパスワードとユーザ名の情報をもっています
管理しているところが流出したってわかったらデータベースのデータを変換します
例えば「最初に000をつけて最後の3文字を987に置き換える」なら「000drowssap987」がデータベースの新しいデータです

情報盗まれる時ってほとんどデータベースにはアクセスできてもサーバ側のプログラムまではわからなくて「逆にして最後に123をつける」みたいなルールまではばれないのが多いみたいですし、普通はこんな元に戻せる方法じゃなくてMD5とかsha256みたいなハッシュが使われるみたいなのでバレても元のパスワードはわからないです
同じハッシュ値になるのをみつけられても本当にユーザが入力する文字と同じかはわからないです
例えばハッシュ化の法則が「最初の2文字だけ取り出す」だった場合は「password」でも「pass」でも「pasokon」でも「pa」になって一緒ですよね

それに流出したあとはもっとセキュリティが厳しくなるはずなので、盗んだ人は「000drowssap987」を盗んだ「drowssap123」からどうやって作ればいいのかわからないはずです

そう考えればユーザは何もしなくてもサーバ管理してるところでの対処だけで十分じゃないのって思います
何度も変更させられると覚えきれなくなったりサイトごとに別のパスワードになったりで結局どこかにメモすることになって危険度が上がってると思います


そもそもパスワードという仕組みが古いんじゃないかな
そろそろ新しい何かに置き換わってくれてもいいのに