「奇妙な」Switchの問題により、パスワードを推測するのが容易になる 任天堂はパスをプレーンで保存?
■ このスレッドは過去ログ倉庫に格納されています
過去数週間で、ハッカーは数万のニンテンドーアカウントに違反しました。場合によっては、ハッカーが被害者の
支払い情報がリンクされたゲーム内通貨などのデジタル製品を購入しました。
現在、セキュリティ研究者は、Nintendo Switchコンソールがログイン資格情報を処理する方法に奇妙な問題を
発見しました。これにより、ハッカーが人々のパスワードを簡単に把握できるようになり、任天堂がパスワードを
どのように保存しているかについての質問が発生します。
問題は、ユーザーがNintendo SwitchからeShopにログインする方法に関係しています。セキュリティ研究者の
Runa Sandvikが説明したように、パスワードを入力する前にeShopにログインすると、[OK]ダイアログボックスが
グレー表示されます。ユーザーが正しいパスワードを入力すると、パスワードが点灯し、ユーザーにログインを
許可します。これまでのところ、予想される動作。
あなたは任天堂で働いていますか、あなたは以前に会社について何か知っていましたか?あなたからの御一報を
お待ちしています。+44 20 8133 5190のSignal、JosephcoxのWickr、jfcox @ jabber.ccc.deのOTRチャット、または
joseph.cox@vice.comに電子メールでJoseph Coxに安全に連絡できます。 しかし、Sandvikは、ユーザーがパスワードの最初の8文字のみを入力した場合にも、[OK]ボックスが点灯することを
発見しました。eShopは、ユーザーが実際にログインすることを許可しません。ユーザーは完全なパスワードを
入力する必要がありますが、正しい軌道に乗っているパスワードを推測しようとするユーザーに視覚的なフィード
バックを提供します。基本的に、ハッカーが8番目の文字の後に何が来るかを判断するだけでよい場合は、ハッカ
ーがパスワードを理解できる可能性が高くなりますが、最初のセクションも取得する必要があります。
「最初の8つが正しいかどうかを通知するときに、より簡単になります」とSandvikは言いました。
ハッカーが誰かのパスワードの一部を持っているかどうかの手掛かりを潜在的に提供するだけでなく、任天堂が
この情報を表示できることは、会社がユーザーのパスワードをどのように保護するかについて、いくつかの疑問を
投げかけます。 通常、ウェブサイトとサービスはユーザーのパスワードを「ハッシュ」し、プレーンテキストのパスワード自体ではなく
、それを保存します。ハッシュは、本質的には、一片のデータの片方向の暗号指紋です。ユーザーがログインボックス
にパスワードを入力すると、システムはその入力をハッシュし、それをWebサイトに保存されているハッシュと比較して、
一致するかどうかを確認します。その場合、システムはユーザーをログインさせます。
しかし、任天堂がユーザーにパスワードの最初の8文字の入力に成功したことを伝えることができれば、それは
必ずしも機能しません。任天堂は最初の8文字のハッシュと完全なパスワードの別のハッシュを作成していますか?
任天堂は最初の8文字をプレーンテキストで保存していますか?
「奇妙な」パスワードセキュリティの専門家であり、PasswordsConカンファレンスの創設者であるパー・トールスハイム
氏は、オンラインチャットでマザーボードに語った。「優れたUX [ユーザーエクスペリエンス]がポイントであった
可能性がありますが、セキュリティが低下するか、場合によってはセキュリティが低下する可能性があります」
任天堂はコメントの要求を認めたが、それがどのようにパスワードを保存するかについての質問には答えなかった。 むしろこのまま放置してどこまでおぞましいことになるのか見守りたいw
何もなければそれはそれでいいっしょ 余所でこの話題見かけないのは、まあそういうことなんだろw 奇妙な、ってパスワードセキュリティ専門家にかかってるのか
まともな人ではないのかな?ソニーに雇われてる? 任天堂はアカウントとかオンラインとかのたぐいはほんとにヤバイ さすがにこんな仕様にするって頭おかしくないか
実ユーザーの子供に親が設定したパスワードを突破させたい思惑? どんな擁護してくるかと思ってたら流石に無理だと理解して豚さん寄ってこないな
しかし洒落にならんで パスワードポリシーを満たしているかどうかってだけなのでは ウンコ臭い!ウンコ臭い!ウンコ臭い!ウンコ臭いぞ!おえ〜!
しょんべん臭い!しょんべん臭い!しょんべん臭いぞ!おえ〜!
「にんてん」は技術力の低いショボイ会社!ヘドが出るわ!日本の恥! さっきswitchで試したけど
パスワードポリシーを満たした時点でOKが押せるようになるだけじゃん このスレ何回目だ? 論破されてるのによく飽きないね >>19
どれだけ説明されても解らないなんて、100レス君並みの理解力だな
実生活で他人と会話できないんじゃないかな?
かわいそうに パスワードの正誤に関係なく、駄目な書式(三文字連続同じ)や使用できない文字や記号を弾いてるだけ
ランダムなパス入力でもOK押せる
はい論破 奇妙な専門家「正しいパスワードを8文字入れた時点でOKマークが点灯するぞ(ドヤッ」
何故この時正しくないパスワードで試さなかったのかwww ラスアス2のネタバレがハックされたあの会社に比べたらセキュリティは高いんじゃね? しっかし2020年になってこの素人設計って恐ろしいハードだわ そんなにOK押せる(認証できるとは言ってない)のが嬉しいのか…
別のサイトでパスワード入力せずに送信ボタン押せる所なんか見たら大歓迎しそうな専門家だなー(棒 こんなのがセキュリティ専門家を自称してるから大爆笑 正規表現での入力チェックなんて「ゴキでも出来る入力フォーム作成超初心者向け入門」の3〜4ページ目くらいに学ぶ事だろうに この>>1はなりすましてゴキブリは馬鹿だと喧伝したいのか致命的にバカなのかどちらだ?
ウンコマンはバカとかでなく病気の人だから仕方ないね 全部紐付けしてダダ漏れしたPSNを、パクったからじゃないか?
ユーザー情報とクレカ情報セットだったのは… サーバ参照無しでパスワードの成否がわかるとなんで思ったんだ? >>26
「100レス君並みの理解力だな」
脳機能障害か ■ このスレッドは過去ログ倉庫に格納されています