web-dev-qa-db-ja.com

複雑なパスワードを使用すると壊れるWebサイトを信頼すべきですか?

パスワードを「NÌÿÖÏï£Ø¥üQ¢¨¼Ü9¨ÝIÇÅbÍm」のように変更した後、ウェブサイトが「壊れた」。ログインできず、カスタマーサービスが私のアカウントを削除し、新しいアカウントを作成するように求めました。これは、サイトのコードにセキュリティ上の欠陥があることを意味しますか?資格情報について心配する必要がありますか?

明らかに、私はパスワードマネージャーを使用しており、Webサイトでは映画館の座席を予約することしかできないため、資格情報はあまり価値がありません。

31
Christian

あなたの説明は、サイトが入力を適切に検証できないことです。これは(弱く)コードに深い欠陥があることを意味します。入力が PBKDF2() を呼び出すルーチンを妨害しただけの場合、パスワードハッシュは再現可能ではなかった可能性があります。しかし、私は単純なパスワードのリセットがその問題を解決するのに十分であったはずだと思います。アカウントを削除すると、アカウントレコードが破損した可能性があります。ただし、アカウントの削除は、予期しないユーザー入力が原因でパスワードの問題が発生したユーザーへの対応である可能性があります。彼らはこの反応でハッカーを積極的に阻止しようとしているのかもしれません。

また、欠陥があるからといって、必ずしもサイトが脆弱であるとは限りません。欠陥のあるコードは悪用可能である必要があり、その証拠を提供しませんでした。そのような証拠には、不安定な動作や不可解に変更された値が含まれる場合があります。

さらに踏み込むことに決めた場合、おそらく個々のパスワード文字をテストして、サイトがアカウントをロックする原因となったグリフを分離し、それらの試みがハッキング攻撃であると見なす権利があることを知ってください。実験する前に、サイト所有者の許可を求めてください。

高ビットセット文字を使用する代わりに、暗号化されたランダムな高ビット未設定の標準、通常、印刷可能ASCII英数字、パスワードのセキュリティは重要ではありません。

28
John Deters

ほとんどの場合、これは(アメリカ人が作成したほとんどのプログラムと同様に)Unicode文字でテストされておらず、コードにバグがあることを意味します。彼らが修正することは高い優先順位ではないので、代わりに彼らはそれをしないようにあなたに言って問題を回避しました。

カスタマーサービスがパスワードをリセットする代わりにアカウントを削除して再作成したのは奇妙ですが、信じられないほど心配ではありません。彼らがこの状況に対処するために十分に訓練されていない可能性があり、それは彼らが取ったアプローチにすぎません。また、何らかの理由でパスワード変更機能にバグが存在する可能性もあります(おそらく、パスワードで暗号化されたものをキーとして保存し、それを復号化してから新しいパスワードで再暗号化する必要がありますか?)。

この種のエンジニアリングとテストの問題があるサイトにもセキュリティ上の欠陥がある可能性がありますが、これは統計的な相関関係であり、観察されたバグによって直接暗示されるものではありません。

パスワード処理は、ハッシュ以上のものを生成または検証しない1つのモジュールである必要があります。複雑なパスワードを正常に再入力できない唯一の方法は、同じことを行うはずの2つの別々のコード、またはそれを行わないことです。さらに悪いことに、パスワードがプレーンテキストで保存されます。

パスワードを平文で処理または保存するほど、サイトがパスワード抽出攻撃またはシステムに対する一般的な攻撃を受けやすくなります。

xkcdコミック は、直接の範囲を超えるパスワード処理についてです。

そしてもちろん、これは little Bobby Tables を連想させます。

両方の漫画を要約します。入力をどこかに保存する前にサニタイズし、パスワードを過剰に処理しないでください。

私の参照がすべてRandall Munroeによるものである場合は申し訳ありませんが、彼の説明は非常にグラフィックです...

3
user130351

おそらくバグです。原則として、何でも可能であるため、サードパーティのWebサイトを信頼することはありません。不可能だとは思わないでください。ただし、ASCII文字のみを使用して、複雑なパスワードを使用してください。

1
avi