■ このスレッドは過去ログ倉庫に格納されています
「奇妙な」Switchの問題により、パスワードを推測するのが容易になる 任天堂はパスをプレーンで保存?
- 1 :名無しさん必死だな:2020/05/23(土) 08:44:09 ID:uJW+LPxQM.net
- 過去数週間で、ハッカーは数万のニンテンドーアカウントに違反しました。場合によっては、ハッカーが被害者の
支払い情報がリンクされたゲーム内通貨などのデジタル製品を購入しました。
現在、セキュリティ研究者は、Nintendo Switchコンソールがログイン資格情報を処理する方法に奇妙な問題を
発見しました。これにより、ハッカーが人々のパスワードを簡単に把握できるようになり、任天堂がパスワードを
どのように保存しているかについての質問が発生します。
問題は、ユーザーがNintendo SwitchからeShopにログインする方法に関係しています。セキュリティ研究者の
Runa Sandvikが説明したように、パスワードを入力する前にeShopにログインすると、[OK]ダイアログボックスが
グレー表示されます。ユーザーが正しいパスワードを入力すると、パスワードが点灯し、ユーザーにログインを
許可します。これまでのところ、予想される動作。
あなたは任天堂で働いていますか、あなたは以前に会社について何か知っていましたか?あなたからの御一報を
お待ちしています。+44 20 8133 5190のSignal、JosephcoxのWickr、jfcox @ jabber.ccc.deのOTRチャット、または
joseph.cox@vice.comに電子メールでJoseph Coxに安全に連絡できます。
- 2 :名無しさん必死だな:2020/05/23(土) 08:46:43 ID:uJW+LPxQM.net
- しかし、Sandvikは、ユーザーがパスワードの最初の8文字のみを入力した場合にも、[OK]ボックスが点灯することを
発見しました。eShopは、ユーザーが実際にログインすることを許可しません。ユーザーは完全なパスワードを
入力する必要がありますが、正しい軌道に乗っているパスワードを推測しようとするユーザーに視覚的なフィード
バックを提供します。基本的に、ハッカーが8番目の文字の後に何が来るかを判断するだけでよい場合は、ハッカ
ーがパスワードを理解できる可能性が高くなりますが、最初のセクションも取得する必要があります。
「最初の8つが正しいかどうかを通知するときに、より簡単になります」とSandvikは言いました。
ハッカーが誰かのパスワードの一部を持っているかどうかの手掛かりを潜在的に提供するだけでなく、任天堂が
この情報を表示できることは、会社がユーザーのパスワードをどのように保護するかについて、いくつかの疑問を
投げかけます。
- 3 :名無しさん必死だな:2020/05/23(土) 08:48:43 ID:uJW+LPxQM.net
- 通常、ウェブサイトとサービスはユーザーのパスワードを「ハッシュ」し、プレーンテキストのパスワード自体ではなく
、それを保存します。ハッシュは、本質的には、一片のデータの片方向の暗号指紋です。ユーザーがログインボックス
にパスワードを入力すると、システムはその入力をハッシュし、それをWebサイトに保存されているハッシュと比較して、
一致するかどうかを確認します。その場合、システムはユーザーをログインさせます。
しかし、任天堂がユーザーにパスワードの最初の8文字の入力に成功したことを伝えることができれば、それは
必ずしも機能しません。任天堂は最初の8文字のハッシュと完全なパスワードの別のハッシュを作成していますか?
任天堂は最初の8文字をプレーンテキストで保存していますか?
「奇妙な」パスワードセキュリティの専門家であり、PasswordsConカンファレンスの創設者であるパー・トールスハイム
氏は、オンラインチャットでマザーボードに語った。「優れたUX [ユーザーエクスペリエンス]がポイントであった
可能性がありますが、セキュリティが低下するか、場合によってはセキュリティが低下する可能性があります」
任天堂はコメントの要求を認めたが、それがどのようにパスワードを保存するかについての質問には答えなかった。
- 4 :名無しさん必死だな:2020/05/23(土) 08:52:43 ID:uJW+LPxQM.net
- これが本当なら
- 5 :名無しさん必死だな:2020/05/23(土) 08:53:17 ID:uJW+LPxQM.net
- これがほんとうならアカウント盗み放題
- 6 :名無しさん必死だな:2020/05/23(土) 08:56:09 ID:uJW+LPxQM.net
- これは都合が悪すぎるスレ
- 7 :名無しさん必死だな:2020/05/23(土) 08:57:22 ID:LOdfopBd0.net
- 論破されてる
セキュリティ専門家「ねぇ任天堂、これ欠陥じゃない」 任天堂「知らぬ存ぜぬ」
https://krsw.5ch.net/test/read.cgi/ghard/1590184277/
- 8 :名無しさん必死だな:2020/05/23(土) 08:59:41 ID:uJW+LPxQM.net
- >>7
されてないじゃん
- 9 :名無しさん必死だな:2020/05/23(土) 09:01:05 ID:yaR/e+iN0.net
- むしろこのまま放置してどこまでおぞましいことになるのか見守りたいw
何もなければそれはそれでいいっしょ
- 10 :名無しさん必死だな:2020/05/23(土) 09:10:29 ID:iNvqzOS50.net
- これは恥ずかしい専門家だな
- 11 :名無しさん必死だな:2020/05/23(土) 09:15:58 ID:gm7QpRZ/0.net
- 余所でこの話題見かけないのは、まあそういうことなんだろw
- 12 :名無しさん必死だな:2020/05/23(土) 09:24:27 ID:kzPq14Hq0.net
- 奇妙な、ってパスワードセキュリティ専門家にかかってるのか
まともな人ではないのかな?ソニーに雇われてる?
- 13 :名無しさん必死だな:2020/05/23(土) 09:25:10 ID:uJW+LPxQM.net
- これはソニーの陰謀だな!!
- 14 :名無しさん必死だな:2020/05/23(土) 09:29:00.54 ID:uJW+LPxQM.net
- 任天堂はアカウントとかオンラインとかのたぐいはほんとにヤバイ
- 15 :名無しさん必死だな:2020/05/23(土) 09:33:26 ID:0aFgLZR60.net
- >>4
本当ならな
- 16 :名無しさん必死だな:2020/05/23(土) 09:34:49 ID:kzPq14Hq0.net
- >>13
何だ自白してるじゃないか
- 17 :名無しさん必死だな:2020/05/23(土) 09:54:55 ID:GBxhhuMi0.net
- 翻訳きもい
DeepL翻訳使え
- 18 :名無しさん必死だな:2020/05/23(土) 09:54:56 ID:hhX9EhkX0.net
- さすがにこんな仕様にするって頭おかしくないか
実ユーザーの子供に親が設定したパスワードを突破させたい思惑?
- 19 :名無しさん必死だな:2020/05/23(土) 10:12:17 ID:uJW+LPxQM.net
- これマジでやばいな
- 20 :名無しさん必死だな:2020/05/23(土) 10:29:47 ID:bv6jh4F70.net
- どんな擁護してくるかと思ってたら流石に無理だと理解して豚さん寄ってこないな
しかし洒落にならんで
- 21 :名無しさん必死だな:2020/05/23(土) 10:38:02 ID:4Ls+vC2Y0.net
- パスワードポリシーを満たしているかどうかってだけなのでは
- 22 :名無しさん必死だな:2020/05/23(土) 10:39:45 ID:PsldFodi0.net
- ウンコ臭い!ウンコ臭い!ウンコ臭い!ウンコ臭いぞ!おえ〜!
しょんべん臭い!しょんべん臭い!しょんべん臭いぞ!おえ〜!
「にんてん」は技術力の低いショボイ会社!ヘドが出るわ!日本の恥!
- 23 :名無しさん必死だな:2020/05/23(土) 10:50:52 ID:8Euo/1pg0.net
- さっきswitchで試したけど
パスワードポリシーを満たした時点でOKが押せるようになるだけじゃん
- 24 :名無しさん必死だな:2020/05/23(土) 10:57:58 ID:+O65mXiQ0.net
- ネガキャンことごとく失敗しててかわいそう
- 25 :名無しさん必死だな:2020/05/23(土) 11:03:35 ID:AVF5CDXY0.net
- このスレ何回目だ? 論破されてるのによく飽きないね
- 26 :名無しさん必死だな:2020/05/23(土) 12:43:25 ID:kzPq14Hq0.net
- >>19
どれだけ説明されても解らないなんて、100レス君並みの理解力だな
実生活で他人と会話できないんじゃないかな?
かわいそうに
- 27 :名無しさん必死だな:2020/05/23(土) 14:05:44 ID:ER7sghU20.net
- ゴキブリってアホしか居ないのかwww
- 28 :名無しさん必死だな:2020/05/23(土) 14:08:31 ID:bEuzekkEd.net
- パスワードの正誤に関係なく、駄目な書式(三文字連続同じ)や使用できない文字や記号を弾いてるだけ
ランダムなパス入力でもOK押せる
はい論破
- 29 :名無しさん必死だな:2020/05/23(土) 14:13:08 ID:J0FMCcji0.net
- セキュリティ専門家()
- 30 :名無しさん必死だな:2020/05/23(土) 14:21:41 ID:jgo9J7O8r.net
- 奇妙な専門家「正しいパスワードを8文字入れた時点でOKマークが点灯するぞ(ドヤッ」
何故この時正しくないパスワードで試さなかったのかwww
- 31 :名無しさん必死だな:2020/05/23(土) 14:24:44 ID:no4Zhw6Ip.net
- ラスアス2のネタバレがハックされたあの会社に比べたらセキュリティは高いんじゃね?
- 32 :名無しさん必死だな:2020/05/23(土) 14:44:19 ID:uJW+LPxQM.net
- しっかし2020年になってこの素人設計って恐ろしいハードだわ
- 33 :名無しさん必死だな:2020/05/23(土) 15:09:56 ID:ER7sghU20.net
- ゴキブリ嘘も100回の精神www
- 34 :名無しさん必死だな:2020/05/23(土) 15:11:49 ID:bEuzekkEd.net
- >>30
ソニーのセキュリティ担当レベルですわw
- 35 :名無しさん必死だな:2020/05/23(土) 15:20:58 ID:C5pMzTbZ0.net
- そんなにOK押せる(認証できるとは言ってない)のが嬉しいのか…
別のサイトでパスワード入力せずに送信ボタン押せる所なんか見たら大歓迎しそうな専門家だなー(棒
- 36 :名無しさん必死だな:2020/05/23(土) 15:23:02 ID:ER7sghU20.net
- こんなのがセキュリティ専門家を自称してるから大爆笑
- 37 :名無しさん必死だな:2020/05/23(土) 15:28:36.64 ID:bEuzekkEd.net
- 正規表現での入力チェックなんて「ゴキでも出来る入力フォーム作成超初心者向け入門」の3〜4ページ目くらいに学ぶ事だろうに
- 38 :名無しさん必死だな:2020/05/23(土) 15:29:08.21 ID:MbHl94X00.net
- この>>1はなりすましてゴキブリは馬鹿だと喧伝したいのか致命的にバカなのかどちらだ?
ウンコマンはバカとかでなく病気の人だから仕方ないね
- 39 :名無しさん必死だな:2020/05/23(土) 16:03:15.33 ID:VNhxZBTU0.net
- 全部紐付けしてダダ漏れしたPSNを、パクったからじゃないか?
ユーザー情報とクレカ情報セットだったのは…
- 40 :名無しさん必死だな:2020/05/23(土) 21:09:21 ID:lqwzd6vM0.net
- サーバ参照無しでパスワードの成否がわかるとなんで思ったんだ?
- 41 :名無しさん必死だな:2020/05/23(土) 22:04:52 ID:A5Cs1Wh10.net
- ぶーちゃん焦りまくり擁護
- 42 :名無しさん必死だな:2020/05/23(土) 22:09:49 ID:ER7sghU20.net
- ゴキブリ現実の前に何一つ反論が出来ないwww
- 43 :名無しさん必死だな:2020/05/23(土) 22:39:30 ID:gUnkFeca0.net
- アホすぎだなこれは
入力値検証してるだけじゃん
- 44 :名無しさん必死だな:2020/05/23(土) 22:41:26 ID:7sWAleCh0.net
- >>26
「100レス君並みの理解力だな」
脳機能障害か
- 45 :名無しさん必死だな:2020/05/23(土) 23:14:28 ID:xj7ZTZT10.net
- >>1
二段階認証すりゃ良いんじゃないの?
総レス数 45
10 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★