Twitterにログインすると「アカウントを安全に保ち続けましょう」というメッセージが表示される件について「何があったのか」「ユーザは何をすべきか」について書いてみる。

Twitterにログインしたら以下のようなメッセージダイアログが表示された。

アカウントを安全に保ち続けましょう
Twitterアカウントのパスワード設定ではマスク技術を使い、社内で誰にもわからないようにします。最近、内部ログでマスクをかけないままパスワードを保管するバグが見つかりました。そのバグは修正済みで、誰かが違反または誤用している痕跡はありません。十分な注意が必要ですので、このパスワードを使用したサービスがあれば、パスワードの変更をご検討ください。 [詳細]

[詳細]からリンクされているページは以下。
https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html

Twitterに何が起こったのか

前置き(読み飛ばし可)

最近のサービスでは「パスワード」を扱う場合…


パスワードはそのまま保存されるわけではなく、パスワードをハッシュ化したものを保存を保存する。

認証を行う場合、「入力されたパスワードをハッシュ化したもの」と「保存されているハッシュ」を照合する事で認証を行う。


大雑把に言うとこんな感じの処理を行い、「生のパスワード」は保存しないのが基本

なぜこのような処理が行われるのかというと…。
パスワードを複数のサービスにまたがって使いまわしている人」とかいるので、「生のパスワードが何かしらの理由で漏洩した場合、そこから芋づる式に他サービスに影響が及ぶ可能性がある」ので、生のパスワードを保存しない事で、「情報が漏洩した場合のリスクを軽減する事が出来る」。
後は「管理・運営側にいる人間でもユーザの生のパスワードを知る事が出来ない状態がベスト」ってのもあったり。
情報を管理するのは最終的には「人間」なので。

本題

さて、前置きが長くなったけれど…。
今回、Twitterでは、「『内部ログ』に生のパスワードが保管されるバグが見つかった」という事なので、それ以外のレベル(内部ログ以外)ではBCryptによるパスワードのハッシュ化が行われていたという事。(詳細 をみる限り。)
ログレベル」で暗号化が行われていないパスワードが記録されてしまうバグがあった という事。
「それを悪用された痕跡は無い」が、全てのTwitterユーザに対して念の為「Twitterのパスワードの変更」と、「同じパスワードを利用しているサービスがあるのならそれらのサービスのパスワードの変更」を呼びかけているといったところ。

ユーザは何をすべきか

パスワードの使い回しをしていない方は

念の為、Twitterのパスワードの変更をする。

パスワードを使いまわしている方は

Twitterのパスワードの変更と、Twitterと同じパスワードを利用しているサービス等のパスワードを変更した上で、以後パスワードの使い回しをしないように反省する
大事なことなのでもう一度…。

以後パスワードの使い回しをしないように反省する

パスワードの生成は
パスワードジェネレータをご利用下さい。

Leave a Reply

Your email address will not be published.