「奇妙な」Switchの問題により、パスワードを推測するのが容易になる　任天堂はパスをプレーンで保存？

1 ：名無しさん必死だな：2020/05/23(土) 08:44:09 ID:uJW+LPxQM.net

過去数週間で、ハッカーは数万のニンテンドーアカウントに違反しました。場合によっては、ハッカーが被害者の
支払い情報がリンクされたゲーム内通貨などのデジタル製品を購入しました。

現在、セキュリティ研究者は、Nintendo Switchコンソールがログイン資格情報を処理する方法に奇妙な問題を
発見しました。これにより、ハッカーが人々のパスワードを簡単に把握できるようになり、任天堂がパスワードを
どのように保存しているかについての質問が発生します。

問題は、ユーザーがNintendo SwitchからeShopにログインする方法に関係しています。セキュリティ研究者の
Runa Sandvikが説明したように、パスワードを入力する前にeShopにログインすると、[OK]ダイアログボックスが
グレー表示されます。ユーザーが正しいパスワードを入力すると、パスワードが点灯し、ユーザーにログインを
許可します。これまでのところ、予想される動作。

あなたは任天堂で働いていますか、あなたは以前に会社について何か知っていましたか？あなたからの御一報を
お待ちしています。+44 20 8133 5190のSignal、JosephcoxのWickr、jfcox @ jabber.ccc.deのOTRチャット、または
joseph.cox@vice.comに電子メールでJoseph Coxに安全に連絡できます。

2 ：名無しさん必死だな：2020/05/23(土) 08:46:43 ID:uJW+LPxQM.net

しかし、Sandvikは、ユーザーがパスワードの最初の8文字のみを入力した場合にも、[OK]ボックスが点灯することを
発見しました。eShopは、ユーザーが実際にログインすることを許可しません。ユーザーは完全なパスワードを
入力する必要がありますが、正しい軌道に乗っているパスワードを推測しようとするユーザーに視覚的なフィード
バックを提供します。基本的に、ハッカーが8番目の文字の後に何が来るかを判断するだけでよい場合は、ハッカ
ーがパスワードを理解できる可能性が高くなりますが、最初のセクションも取得する必要があります。

「最初の8つが正しいかどうかを通知するときに、より簡単になります」とSandvikは言いました。

ハッカーが誰かのパスワードの一部を持っているかどうかの手掛かりを潜在的に提供するだけでなく、任天堂が
この情報を表示できることは、会社がユーザーのパスワードをどのように保護するかについて、いくつかの疑問を
投げかけます。

3 ：名無しさん必死だな：2020/05/23(土) 08:48:43 ID:uJW+LPxQM.net

通常、ウェブサイトとサービスはユーザーのパスワードを「ハッシュ」し、プレーンテキストのパスワード自体ではなく
、それを保存します。ハッシュは、本質的には、一片のデータの片方向の暗号指紋です。ユーザーがログインボックス
にパスワードを入力すると、システムはその入力をハッシュし、それをWebサイトに保存されているハッシュと比較して、
一致するかどうかを確認します。その場合、システムはユーザーをログインさせます。

しかし、任天堂がユーザーにパスワードの最初の8文字の入力に成功したことを伝えることができれば、それは
必ずしも機能しません。任天堂は最初の8文字のハッシュと完全なパスワードの別のハッシュを作成していますか？
任天堂は最初の8文字をプレーンテキストで保存していますか？

「奇妙な」パスワードセキュリティの専門家であり、PasswordsConカンファレンスの創設者であるパー・トールスハイム
氏は、オンラインチャットでマザーボードに語った。「優れたUX [ユーザーエクスペリエンス]がポイントであった
可能性がありますが、セキュリティが低下するか、場合によってはセキュリティが低下する可能性があります」

任天堂はコメントの要求を認めたが、それがどのようにパスワードを保存するかについての質問には答えなかった。

4 ：名無しさん必死だな：2020/05/23(土) 08:52:43 ID:uJW+LPxQM.net

これが本当なら

5 ：名無しさん必死だな：2020/05/23(土) 08:53:17 ID:uJW+LPxQM.net

これがほんとうならアカウント盗み放題

6 ：名無しさん必死だな：2020/05/23(土) 08:56:09 ID:uJW+LPxQM.net

これは都合が悪すぎるスレ

7 ：名無しさん必死だな：2020/05/23(土) 08:57:22 ID:LOdfopBd0.net

論破されてる

セキュリティ専門家「ねぇ任天堂、これ欠陥じゃない」 任天堂「知らぬ存ぜぬ」
https://krsw.5ch.net/test/read.cgi/ghard/1590184277/

8 ：名無しさん必死だな：2020/05/23(土) 08:59:41 ID:uJW+LPxQM.net

>>7
されてないじゃん

9 ：名無しさん必死だな：2020/05/23(土) 09:01:05 ID:yaR/e+iN0.net

むしろこのまま放置してどこまでおぞましいことになるのか見守りたいｗ
何もなければそれはそれでいいっしょ

10 ：名無しさん必死だな：2020/05/23(土) 09:10:29 ID:iNvqzOS50.net

これは恥ずかしい専門家だな

11 ：名無しさん必死だな：2020/05/23(土) 09:15:58 ID:gm7QpRZ/0.net

余所でこの話題見かけないのは、まあそういうことなんだろｗ

12 ：名無しさん必死だな：2020/05/23(土) 09:24:27 ID:kzPq14Hq0.net

奇妙な、ってパスワードセキュリティ専門家にかかってるのか
まともな人ではないのかな？ソニーに雇われてる？

13 ：名無しさん必死だな：2020/05/23(土) 09:25:10 ID:uJW+LPxQM.net

これはソニーの陰謀だな！！

14 ：名無しさん必死だな：2020/05/23(土) 09:29:00.54 ID:uJW+LPxQM.net

任天堂はアカウントとかオンラインとかのたぐいはほんとにヤバイ

15 ：名無しさん必死だな：2020/05/23(土) 09:33:26 ID:0aFgLZR60.net

>>4
本当ならな

16 ：名無しさん必死だな：2020/05/23(土) 09:34:49 ID:kzPq14Hq0.net

>>13
何だ自白してるじゃないか

17 ：名無しさん必死だな：2020/05/23(土) 09:54:55 ID:GBxhhuMi0.net

翻訳きもい
DeepL翻訳使え

18 ：名無しさん必死だな：2020/05/23(土) 09:54:56 ID:hhX9EhkX0.net

さすがにこんな仕様にするって頭おかしくないか
実ユーザーの子供に親が設定したパスワードを突破させたい思惑？

19 ：名無しさん必死だな：2020/05/23(土) 10:12:17 ID:uJW+LPxQM.net

これマジでやばいな

20 ：名無しさん必死だな：2020/05/23(土) 10:29:47 ID:bv6jh4F70.net

どんな擁護してくるかと思ってたら流石に無理だと理解して豚さん寄ってこないな
しかし洒落にならんで

21 ：名無しさん必死だな：2020/05/23(土) 10:38:02 ID:4Ls+vC2Y0.net

パスワードポリシーを満たしているかどうかってだけなのでは

22 ：名無しさん必死だな：2020/05/23(土) 10:39:45 ID:PsldFodi0.net

ウンコ臭い！ウンコ臭い！ウンコ臭い！ウンコ臭いぞ！おえ〜！
しょんべん臭い！しょんべん臭い！しょんべん臭いぞ！おえ〜！
「にんてん」は技術力の低いショボイ会社！ヘドが出るわ！日本の恥！

23 ：名無しさん必死だな：2020/05/23(土) 10:50:52 ID:8Euo/1pg0.net

さっきswitchで試したけど
パスワードポリシーを満たした時点でOKが押せるようになるだけじゃん

24 ：名無しさん必死だな：2020/05/23(土) 10:57:58 ID:+O65mXiQ0.net

ネガキャンことごとく失敗しててかわいそう

25 ：名無しさん必死だな：2020/05/23(土) 11:03:35 ID:AVF5CDXY0.net

このスレ何回目だ？　論破されてるのによく飽きないね

26 ：名無しさん必死だな：2020/05/23(土) 12:43:25 ID:kzPq14Hq0.net

>>19
どれだけ説明されても解らないなんて、100レス君並みの理解力だな
実生活で他人と会話できないんじゃないかな？
かわいそうに

27 ：名無しさん必死だな：2020/05/23(土) 14:05:44 ID:ER7sghU20.net

ゴキブリってアホしか居ないのかｗｗｗ

28 ：名無しさん必死だな：2020/05/23(土) 14:08:31 ID:bEuzekkEd.net

パスワードの正誤に関係なく、駄目な書式(三文字連続同じ)や使用できない文字や記号を弾いてるだけ
ランダムなパス入力でもOK押せる

はい論破

29 ：名無しさん必死だな：2020/05/23(土) 14:13:08 ID:J0FMCcji0.net

セキュリティ専門家()

30 ：名無しさん必死だな：2020/05/23(土) 14:21:41 ID:jgo9J7O8r.net

奇妙な専門家｢正しいパスワードを8文字入れた時点でOKマークが点灯するぞ(ﾄﾞﾔｯ｣

何故この時正しくないパスワードで試さなかったのかｗｗｗ

31 ：名無しさん必死だな：2020/05/23(土) 14:24:44 ID:no4Zhw6Ip.net

ラスアス2のネタバレがハックされたあの会社に比べたらセキュリティは高いんじゃね？

32 ：名無しさん必死だな：2020/05/23(土) 14:44:19 ID:uJW+LPxQM.net

しっかし2020年になってこの素人設計って恐ろしいハードだわ

33 ：名無しさん必死だな：2020/05/23(土) 15:09:56 ID:ER7sghU20.net

ゴキブリ嘘も100回の精神ｗｗｗ

34 ：名無しさん必死だな：2020/05/23(土) 15:11:49 ID:bEuzekkEd.net

>>30
ソニーのセキュリティ担当レベルですわw

35 ：名無しさん必死だな：2020/05/23(土) 15:20:58 ID:C5pMzTbZ0.net

そんなにOK押せる（認証できるとは言ってない）のが嬉しいのか…
別のサイトでパスワード入力せずに送信ボタン押せる所なんか見たら大歓迎しそうな専門家だなー（棒

36 ：名無しさん必死だな：2020/05/23(土) 15:23:02 ID:ER7sghU20.net

こんなのがセキュリティ専門家を自称してるから大爆笑

37 ：名無しさん必死だな：2020/05/23(土) 15:28:36.64 ID:bEuzekkEd.net

正規表現での入力チェックなんて「ゴキでも出来る入力フォーム作成超初心者向け入門」の3〜4ページ目くらいに学ぶ事だろうに

38 ：名無しさん必死だな：2020/05/23(土) 15:29:08.21 ID:MbHl94X00.net

この>>1はなりすましてゴキブリは馬鹿だと喧伝したいのか致命的にバカなのかどちらだ？
ウンコマンはバカとかでなく病気の人だから仕方ないね

39 ：名無しさん必死だな：2020/05/23(土) 16:03:15.33 ID:VNhxZBTU0.net

全部紐付けしてダダ漏れしたPSNを、パクったからじゃないか？
ユーザー情報とクレカ情報セットだったのは…

40 ：名無しさん必死だな：2020/05/23(土) 21:09:21 ID:lqwzd6vM0.net

サーバ参照無しでパスワードの成否がわかるとなんで思ったんだ？

41 ：名無しさん必死だな：2020/05/23(土) 22:04:52 ID:A5Cs1Wh10.net

ぶーちゃん焦りまくり擁護

42 ：名無しさん必死だな：2020/05/23(土) 22:09:49 ID:ER7sghU20.net

ゴキブリ現実の前に何一つ反論が出来ないｗｗｗ

43 ：名無しさん必死だな：2020/05/23(土) 22:39:30 ID:gUnkFeca0.net

アホすぎだなこれは
入力値検証してるだけじゃん

44 ：名無しさん必死だな：2020/05/23(土) 22:41:26 ID:7sWAleCh0.net

>>26
「100レス君並みの理解力だな」
脳機能障害か

45 ：名無しさん必死だな：2020/05/23(土) 23:14:28 ID:xj7ZTZT10.net

>>1
二段階認証すりゃ良いんじゃないの？