PlayStationNetworkからパスワードの漏洩は

投稿者: -
しばらくPlayStationNetworkからの個人情報流出騒ぎでPSNがメンテナンス中ですな。
“PlayStation Network”/“Qriocity”についてのよくあるお問い合わせの中でパスワードなどの状態についてちょくちょく情報が公開されているようなのでどういうのかと簡単な解説。
パスワードについてはハッシュ化されている。ということです。これは、直接元の状態のパスワードを保存しているわけではありません。
ハッシュ化されていれば、直接元のパスワードを推測することは難しいため、とりあえずは安心です。
が、ハッシュ化される方式にも何パターンかあり、単純にハッシュにしただけであれば、このパスワードはどのハッシュと対応するか、という推測が比較的簡単にできてしまうことになります。同じパスワードで同じハッシュになっている場合など、試したパスワードのハッシュと一致するアカウントを探せば、そのパスワードは同じということになります。7000万もあればどれかは一致するでしょう。
パスワードが一致すると、そのメールアドレスとともに悪用されてしまうことがあります。
単純なパスワードはこれによって推測されやすいため、変更が必要になるでしょう。比較的個性的で複雑なパスワードはその限りではありません。
これを難しくするため、乱数を混ぜたものがあります。乱数を混ぜると、同じパスワードから複数のハッシュ化がされるため、推測するためのパスワードと一致するものを探しても、乱数が違えば一致しませんから単純なパスワードでも破られる確率がずっと下がります。が、7000万もあれば、複数のパスワードで試すと一致する確率は結構上がります。念のため気を付けた方がいいかもしれないです。
PlayStationNetworkがどちらを採用しているか謎ですがパスワードのハッシュにもいろいろあるよという基礎知識的なものでした。

コメント

コメントを投稿

このブログの人気の投稿

AES-GCM 暗号が作れた

投稿者: -
AESとGCMどちらも実装をしてみていたが、GCMの仕様が読みにくかったので進んでいなかった。 AESは前回からあまり変わらず適度に速いので、GCMの速度をどれくらいまで上げられるか、の前にGCMを実装できるのか? というところから。 GCMはほぼCTR Mode とハッシュ計算で認証コードの計算をするだけの組み合わせなので、CTRを若干修正したものとIVなどの初期化ができればやや完成、となる。 やや難解な初期化 CTRモード 認証タグの計算いろいろ AADの計算 ガロアさんの計算をビット反転で テストパターンをみつけてやる気を出して、なんとか完了。速度的には低下なし。本体のCTRっぽい計算のあと、認証タグの計算を別スレッドに分けてみた。2スレッドに分けることでAES-NIは使ってないのに1.5Gbpsくらいは出ていてJava標準のより速い。という結果が出てしまった。 GCM は CTRの拡張っぽい構造でストリーム暗号。本体の GCTR? とハッシュ値計算のGHASH に分けて作ったりすると楽か。スレッド分けは、本体データをハッシュ計算用にメモリに蓄積しながら本文の暗号を行う。ハッシュ計算用のスレッドが終わっていれば再始動する、くらいのものでうまく動く。スレッド間に挟むのはいつもの自作Packetなので読み書き別々にしても全読みしなければ多分問題なさそう。 基本的な高速化手法はAESもGCMも内部をlong型で64bit x 2 にすること。8bit x 16でやるよりXORが全然はやい。 GCTRとCTRの違いはIVのカウンタ部分が32bit固定になることぐらいでいいのかも。 IVの初期化は96bit 入力を使う、それ以外はGHASH で混ぜる、だがTLSでは96bit限定かもしれない。96bitの場合カウンタは乱数が入らないところからはじまる。計算された値はJ0っぽい値になる。 IVは最初の値をGHASH用に、次からGCTR用に使うのでCTRの初期値もひとつかふたつずれる。  GHASHの入力は内部で持つHから計算する、 ハッシュ計算用にAAD とかいう感じの暗号化しないヘッダ的なものを追加可能で本体は暗号化後の値で計算する。GHASHは2つを載せる前提の構造になっている。Paddingは単純な128bitまで0詰め。最後にAADと本体Cの2つのビット長...
続きを読む

RazpberryPi Zero WでJavaを使おう

投稿者: -
というわけでRaspberryPiどころか家でPCにも触ってなかったのですが最近Ryzen 5 2600XなPCを組んでからプログラミングやらいろいろ再開中で、RaspberryPiでWebサーバでもと思ったら2Bが行方不明なのでZero Wを買って挑戦してみることに。 いろいろ罠にはまります。 RaspberryPi Zero WとWHをスイッチサイエンスで1つずつ購入 microSDXCカード 128GBを2枚購入していた(危険 class 10、UHS-Ⅰ Speed Class 1、A1対応) microSDHC 8~32GBが推奨 USBキーボードがなかった(Logiのワイヤレスドングルので可。SANWAのキーボードもあった) てきとーなmicroUSBで繋がる電源 PuTTYとWinSCPでリモート接続 本体の選択 まずは本体の選択、初心者はできれば3B+かな。Zeroは2台目以降でもいいのかもしれない。 フルサイズUSB端子がある、有線LANがある、無線LANもある、HDMIがフルサイズ、などの理由です。変換ケーブル類も高いので予備がないなら3B+です。 Zero Wは、シングルコアARMv6、microUSB OTGがある、有線LANがない、無線LANがある、HDMIがminiサイズ、といろいろと不便です。Zeroになると無線LANまでないので別途用意しないといけません。 Javaを動かしたいならARMv7以降のCPUのものを選ぼう。NOOBSにはARMv7対応のJava11くらいが入っていた。Zero WはARMv6です。あとで対応したJavaを探します。 メモリーカード、OSの選択 メモリーカードの設定から入ります。microSDHC、microSDXCが使えますが、推奨は8GB以上のようです。microSDXCはフォーマットがFAT32ではないという理由で初心者にはおすすめしません。というわけで、初心者向けの容量は8GBから32GBの間で選びます。挑戦したい人はmicroSDXCも今は512GBくらいまであるので選び放題です。 速度など容量以外の選択基準では、class10、UHS不要、A1かA2対応のスマホ用に最適化されているようなものや、書き換えに高耐久なもの、がおすすめです。PCで最初に書き込むのが速...
続きを読む

面倒くさそなもじら系分離

投稿者: -
もじら組の資産放棄? やめる、のではなくて、その上で別組織づくり。もじら組を解散しようとしてみたり、何がしたいのかよくわからない。 スタッフMLだけで進行して、外から見てたらさっぱりじゃなかろうか。 分離したところでもじら組系な人であることにかわりないような気がする。 もともと個人サイトなんてすぐつぶれてしまうからと情報集約的な用途で作った(つもり)ので、分散したからもじら組がつぶれて過去のデータがなくなる、ということだけは避けてもらいたい気がした。 自分はもうしばらく何もしてないし、どっちにも関与しない、つもり。できてもドメイン維持だけかも。
続きを読む