なんとなくパスワードって、秘密のものって認識してるよね?でも最近、イギリスのある有名な組織のログインシステムを見てびっくりしたんだよね😳
なんと、メールアドレスと「8桁の数字PIN」でログインするんだけど、そのPINをログイン後に画面で普通に見られちゃう機能があるらしいの💡✨
え、パスワードって見えちゃいけないんじゃないの?👀
普通、パスワードはちゃんと「ハッシュ化」っていう魔法みたいな処理で、元の文字列には戻せない状態で保存されてるんだよね。だから、サイト運営側でパスワードがバレちゃうことは基本ないはず。
でもここは違うみたいで…
- PINがそのまま保存されてる(もしくは元に戻せる状態)ってこと?
- しかも、忘れたら「PINを教えてあげるよ」って感じでメールに丸ごと送ってくるって聞いて、正直びっくり🥺
PINの最初の4桁は生年月日だって⁉😮💨
さらに謎なのが、PINの最初の4桁は「生年月日(MMYY)」らしいの。
つまり、誕生日がわかれば半分くらいのPINは予想できちゃうってこと…?うーん、ちょっと怖いよね💭
変更も自分じゃできないってどういうこと?💬
普通、パスワードとかPINってログイン後に自分で変えられることが多いよね?
でもここは違ってて、もし「誰かに知られたかも」って思ったら、メールで問い合わせして新しいPINを発行してもらうしかないんだって。なんか不便だし、不安が残るなあ😓
それでも大手っていうのが信じられない🤔
この組織、イギリスでは結構有名でちゃんとした会社みたいなのに、IT監査とかちゃんとしてるはずだよね?
だから、こんな珍しい仕様も「ちゃんと理由があるはず!」って思うんだけど…素人にはよくわかんない💗
実は、パスワードやPINの管理ってめちゃくちゃ難しい問題なんだと思う。
でも、「パスワードを見せる」っていうのは、やっぱり普通じゃないし、ちょっと怖いなって感じた話でした✨💭
はてな
コメント
エマ
最初の4桁はいつもmmyy形式の誕生日だから忘れないでね。 🤭
ハンナ
カメラシステムのパスワードが「Louvre」だったって、無能を舐めちゃいけないね。
リリー
ハッシュ化してもユニークな入力が1億未満なら意味なくて、今のハードでbcryptでも20〜25分で割れるよ。
グレース
PINはパスワードじゃないし、提供される時点でそれが分かるはず。 メール確認とかある?
クリス
もしPINを向こうが決めてるなら、他のパスと結びついてないからリスクは低いよ。 PapercutはPINの取得もできるしね。
レオ
ジムグループ、笑っちゃうね。
ハンナ
問題はPINを平文で保存することじゃなくて、メール(半公開情報)とPINだけで本人認証してる設計ミスだよ。
ノーラン
ハッシュ化は気にしなくていい。 誕生日の4桁が使われてて実際の残りは少ないし、ブルートフォースは簡単だよ。
サム
PINとパスワードを混同してない?
ハンナ
素人が作った初期システムだね。 クレカとか銀行情報の扱いも知ったら驚くよ。
ベン
これはワンタイムパスかただのPIN?
リリー
外からは判別ほぼ不可能。 8桁PINは1億通りで、レインボーテーブルとかで管理してるかもね。
クリス
平文よりはマシだけど手間かけてる感じ。 JWT仕組み使ってるかもだけど、結局平文保存の可能性が高い。 企業は法的最低限を安く済ませることが多いんだ。
エマ
平文っぽい? だったらこれを入力してみな:
ジョージ
X5O!P%@AP\[4\PZX54(P\^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H\*
ロバート
みんな認めたくないけど、実はこういうのは思ったより多いと思うよ。
