Twitterにログインしたら以下のようなメッセージダイアログが表示された。
アカウントを安全に保ち続けましょう
Twitterアカウントのパスワード設定ではマスク技術を使い、社内で誰にもわからないようにします。最近、内部ログでマスクをかけないままパスワードを保管するバグが見つかりました。そのバグは修正済みで、誰かが違反または誤用している痕跡はありません。十分な注意が必要ですので、このパスワードを使用したサービスがあれば、パスワードの変更をご検討ください。 [詳細]
[詳細]からリンクされているページは以下。
https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html
Twitterに何が起こったのか
前置き(読み飛ばし可)
最近のサービスでは「パスワード」を扱う場合…
パスワードはそのまま保存されるわけではなく、パスワードをハッシュ化したものを保存を保存する。
↓
認証を行う場合、「入力されたパスワードをハッシュ化したもの」と「保存されているハッシュ」を照合する事で認証を行う。
大雑把に言うとこんな感じの処理を行い、「生のパスワード」は保存しないのが基本。
なぜこのような処理が行われるのかというと…。
「パスワードを複数のサービスにまたがって使いまわしている人」とかいるので、「生のパスワードが何かしらの理由で漏洩した場合、そこから芋づる式に他サービスに影響が及ぶ可能性がある」ので、生のパスワードを保存しない事で、「情報が漏洩した場合のリスクを軽減する事が出来る」。
後は「管理・運営側にいる人間でもユーザの生のパスワードを知る事が出来ない状態がベスト」ってのもあったり。
情報を管理するのは最終的には「人間」なので。
本題
さて、前置きが長くなったけれど…。
今回、Twitterでは、「『内部ログ』に生のパスワードが保管されるバグが見つかった」という事なので、それ以外のレベル(内部ログ以外)ではBCryptによるパスワードのハッシュ化が行われていたという事。(詳細 をみる限り。)
「ログレベル」で暗号化が行われていないパスワードが記録されてしまうバグがあった という事。
「それを悪用された痕跡は無い」が、全てのTwitterユーザに対して念の為、「Twitterのパスワードの変更」と、「同じパスワードを利用しているサービスがあるのならそれらのサービスのパスワードの変更」を呼びかけているといったところ。
ユーザは何をすべきか
パスワードの使い回しをしていない方は
念の為、Twitterのパスワードの変更をする。
パスワードを使いまわしている方は
Twitterのパスワードの変更と、Twitterと同じパスワードを利用しているサービス等のパスワードを変更した上で、以後パスワードの使い回しをしないように反省する。
大事なことなのでもう一度…。
「以後パスワードの使い回しをしないように反省する」
パスワードの生成は
パスワードジェネレータをご利用下さい。
コメント