パスワードのヒント機能は愚かなアイデアなのか？

**デフォルトの名無しさん** · 2017/10/08(日) 16:35:11.76

macOS「High Sierra」に、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性
http://pc.watch.impress.co.jp/docs/news/1084864.html

　問題は2つあり、1つは新ファイルシステムのAPFS(Apple File System)を
利用している環境で発生するもので、APFSのボリュームをマウントするさいに
聞かれるパスワード確認のダイアログにて、パスワードのヒントボタンを押すと、
ヒントの代わりにパスワードそのものが表示されてしまう。
なお、パスワードのヒントを登録していなかった場合は、パスワードが表示されない。

　もう1つは、悪意のあるアプリが、キーチェインパスワードを抜き取れるというもの。
キーチェインにアクセスするさいにパスワードを要求することで対応している。

**デフォルトの名無しさん** · 2017/10/08(日) 17:54:34.06

まとめ用ネタスレ乙

**デフォルトの名無しさん** · 2017/10/08(日) 18:41:49.90

え？Macはパスワード保存してんの？

**デフォルトの名無しさん** · 2017/10/09(月) 12:22:09.19

ヒント書くはずがパスワードそのものを書いてたわけか
Macは愚かかもしれないけど、ヒント機能が愚かとはいえないね

**デフォルトの名無しさん** · 2017/10/09(月) 15:29:23.75

パスワードなんか使うな、生体認証使えって教えか

**デフォルトの名無しさん** · 2017/10/09(月) 20:33:43.37

生体認証を強制しようとしたんだな

**デフォルトの名無しさん** · 2017/10/09(月) 20:34:51.99

まだまとめ用には煽りレスが足りないぞお前ら

**デフォルトの名無しさん** · 2017/10/09(月) 22:36:44.29

数年したら生体認証はどれもコピー可能かつ
変更ができないからセキュリティとして使用するのは
危険だっていわれるようになるよ

**デフォルトの名無しさん** · 2017/10/10(火) 12:25:58.79

>>3
保存するか、選択できるぞ
キーチェーンでiCloud経由でどのデバイスでも共有できるぞ
暗号化しているはず？だけど、仕組みは知らない

**デフォルトの名無しさん** · 2017/10/12(木) 03:02:45.47

ハッシュじゃなくてパスワードを保存してるの？って質問なのでは

**デフォルトの名無しさん** · 2017/10/13(金) 14:55:58.96

>>10
アカウントのパスワードさえ入力するば、復号化できてるから単純なハッシュではないと思うけども

**デフォルトの名無しさん** · 2017/10/13(金) 18:00:46.72

Appleのバグの話であればヒントを覚えておくところにパスワード突っ込んでしまっていた問題で、パスワード自体を保存する場所は可逆ではないよ

**デフォルトの名無しさん** · 2017/10/13(金) 19:03:00.96

>>12
キーチェーンアクセスで、ユーザーが入力した項目については、”パスワードを表示”でおもいっくそ可逆できるけども

同じこと何回書かせるんだよ