「はてなはパスワードを生データで管理してる?」のはそんなに駄目なのか?
http://d.hatena.ne.jp/ryoko_komachi/20060324/1143502995
はてなのDBにはパスワードがハッシュ値じゃなくて生のままはいってる!セキュリティ的に大丈夫なのか?っていうお話。何人か非難の声をあげている。
…ええっと、安全じゃない通信路(インターネット)に生のパスワードを流さずに済むダイジェスト系の認証を使おうとしたら、サーバ側には生パスワードがなきゃ無理だよね?認証する通信路の安全性の話に全く触れずに、パスワードの保存の仕組みだけを取りあげるのは何かおかしな話な気がする。勘違いがあったらご指摘ください。
生パスワードが流れても大丈夫なように認証を全てSSLで安全な通信路にすれば、ハッシュ値の保存だけで済んで安全っていう議論はありうるけど、そもそもそこまでする必要はあるんだろうか?パスワードDBが突破された後に守るべき物が残っているのだろうか。大きな金庫の中に現金とその金庫を開く鍵がはいっているとして、鍵をそのまま入れとくのは危険だからって鍵だけを小さい金庫に入れようとする?大きな金庫が開かれちゃえば現金は持っていかれるのに?
Webベースのシステムで(DBから)直接パスワードが盗まれるなんていう事態はかなり最悪の状況で、そんな状況であればサーバ上のデータなんてどういじられても不思議はないと思うんだけどな。パスワードが盗まれることで引き起こされる被害って、はてなサーバにあるデータ以外にあるのかな。ポイントの盗難とかも言われてるけど、ポイントデータもサーバで管理してるんだろうからデータ書きかえられちゃえば終わり。非難してる人は何を騒いでいるんだろう。もしかして、他の重要なシステムと共用してるからパスワードそのものを知られたくなかったってこと?
もし、そうだとすれば、相手が信用できるか信用できないかは別にして、認証相手には何らかの形で絶対パスワードは渡るわけだし、そもそも、ネットに流せばそれだけ漏れる可能性が高まるんだから、重要なパスワードはこんなWebシステムと共用しちゃいけない、という話で終わりでしょう。
というか、パスワードの安全性を問題にするなら、パスワードが生で流れるhttpのログイン認証がまだ使えてしまうことを問題にすべきな気がするのですが…
3/30 補足
ちゃんと書いてなかったですが、上での「生のパスワード」ってのは必ずしもDBにパスワード文字列そのものが保存されていることを意味しません。「はてな内部でパスワード文字列そのものを取得できる状態」と解釈してください。パスワードは(はてな側が復号可能な)暗号化をされてDBに納められている可能性はあって、リンク先で挙げられている事実からその可能性は否定できません。というか、はてな内部の人しか本当のところはわからないでしょう。
「そもそもダイジェスト系の認証が使われているから生だ!」という主張がなされていたので、それに合わせて書いたのですが、「ダイジェスト系の認証が使われている」からは「はてな内でパスワード文字列そのものが取得できる」しか言えず、DBに文字列そのものが格納されているかどうかはわかりません。って、これだけ指摘すればよかったのかな。まだよくわからん。
もっとも、それもはてなの認証コードにアクセスできる悪意ある人には何の防御にもならないわけですが。
さらに補足
kosekiさん(http://d.hatena.ne.jp/koseki/20060330)からトラックバックを貰ってようやく気がついたのだけれど、「パスワードのハッシュ値」をパスワードとみなすダイジェスト系の認証をAtom APIとかの軽めの認証に、SSL+Basic認証をポイントのやりとりとか登録個人情報へのアクセスとかの重要な認証に、というふうに使いわければ、サーバ側に置いておくのはパスワードのハッシュ値だけで良くなるのか。
もちろん、ダイジェスト系の認証のほうでは、サーバ側に置いてあるパスワードのハッシュ値が「生パスワード」と同じことになるので、これが漏れるとダイジェスト系の認証のほうには簡単にアクセスされてしまう。でも、ハッシュ値だけではBasci認証のほうにはアクセスできない。双方の認証を重要度で適切に使いわけられれば、SSLの負荷を抑えつつサーバ側にはハッシュ値しか置かない、という運用ができる。
…ということでいいのかな。ハッシュを二重がけすることの悪影響とかないのかな。ないか。
これが上手くいくなら運用コストもそんなに変わらなさそうだし切り替えてもよいかなあ、という気はしますね。でも、今のはてなに置いてあるデータの質を考えると、切り替えコストとの兼ね合いで現状で十分という判断もありな気がする。
