ヨシカワ
というわけで、セキュリティコーナーのタニイさんです。今回は今話題の「パスワード平文保存」の件です。
タニイ
お、今回はお嬢が何かやらかしたわけじゃないやつですね。
ITお嬢様
私だっていつも問題を起こしているわけではありませんことよ! で、結局平文保存って何なんですの?
平文は「暗号化(など)を施していない文字列」ですね。「ひらぶん」と読みます。
また知らない言葉が出てきました。暗号化? ちょっとよく分からないですわ。もっと私でも分かるようにしてくださいませんこと?
暗号化は「与えられた文字列をぱっと見では読めないぐちゃぐちゃな文字列に変換すること」です。例えば「はんにんはITおじょうさま」という文字列をこんな感じに変換したら、何のことか分からないですよね。
例文に悪意を感じますわ! でも……読んで字のごとく暗号にする、というわけですね。
……でも、待ってください。それが今回の漏えいの話とどう関係するんですか?
パスワードって、ユーザーが入力したものと、データベースに保存しておいた文字列を見比べて、同じだったらログインできるようにするのが根本の仕組みなんです。
要するにパスワードがシステムのどこかに保存されているんですけど、今回のケースではパスワードを平文で保存してるかもしれないんですね。
ふむふむ。
例えばですけど、お嬢があるサービスから情報を盗もうと画策したとしましょう。システムに侵入したところ、こんな記録を見つけました。
この状態で、お嬢は「USER」さんのアカウントにログインできますか?
DESUWAと入力すれば、できる……?
簡単ですよね。これが平文保存のヤバさです。パスワードがそのままの状態で分かってしまえば、あとはIT知識がなくても不正ログインに成功してしまう。
なるほど、だから暗号にしなきゃいけないわけですね。
Copyright © ITmedia, Inc. All Rights Reserved.
続きを読むには、コメントの利用規約に同意し「アイティメディアID」および「ITmedia NEWS アンカーデスクマガジン」の登録が必要です
Special
ITmediaはアイティメディア株式会社の登録商標です。
メディア一覧 | 公式SNS | 広告案内 | お問い合わせ | プライバシーポリシー | RSS | 運営会社 | 採用情報 | 推奨環境