パスワードのヒント機能は愚かなアイデアなのか？

[1 デフォルトの名無しさん 2017/10/08(日) 16:35:11.76 ID:FOJ8Xq1X]

macOS「High Sierra」に、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性
http://pc.watch.impress.co.jp/docs/news/1084864.html

　問題は2つあり、1つは新ファイルシステムのAPFS(Apple File System)を
利用している環境で発生するもので、APFSのボリュームをマウントするさいに
聞かれるパスワード確認のダイアログにて、パスワードのヒントボタンを押すと、
ヒントの代わりにパスワードそのものが表示されてしまう。
なお、パスワードのヒントを登録していなかった場合は、パスワードが表示されない。

　もう1つは、悪意のあるアプリが、キーチェインパスワードを抜き取れるというもの。
キーチェインにアクセスするさいにパスワードを要求することで対応している。

[2 デフォルトの名無しさん 2017/10/08(日) 17:54:34.06 ID:ZEE0bNSu]

まとめ用ネタスレ乙

[3 デフォルトの名無しさん 2017/10/08(日) 18:41:49.90 ID:sIfqyVAH]

え？Macはパスワード保存してんの？

[4 デフォルトの名無しさん 2017/10/09(月) 12:22:09.19 ID:vgfKX25N]

ヒント書くはずがパスワードそのものを書いてたわけか
Macは愚かかもしれないけど、ヒント機能が愚かとはいえないね

[5 デフォルトの名無しさん 2017/10/09(月) 15:29:23.75 ID:vxD9yI0H]

パスワードなんか使うな、生体認証使えって教えか

[6 デフォルトの名無しさん 2017/10/09(月) 20:33:43.37 ID:Q+YS8VOQ]

生体認証を強制しようとしたんだな

[7 デフォルトの名無しさん 2017/10/09(月) 20:34:51.99 ID:c41RoAYB]

まだまとめ用には煽りレスが足りないぞお前ら

[8 デフォルトの名無しさん 2017/10/09(月) 22:36:44.29 ID:f8dV4lwv]

数年したら生体認証はどれもコピー可能かつ
変更ができないからセキュリティとして使用するのは
危険だっていわれるようになるよ

[9 デフォルトの名無しさん 2017/10/10(火) 12:25:58.79 ID:XHoYmN2E]

>>3
保存するか、選択できるぞ
キーチェーンでiCloud経由でどのデバイスでも共有できるぞ
暗号化しているはず？だけど、仕組みは知らない

[10 デフォルトの名無しさん 2017/10/12(木) 03:02:45.47 ID:hUTdAh0F]

ハッシュじゃなくてパスワードを保存してるの？って質問なのでは

[11 デフォルトの名無しさん 2017/10/13(金) 14:55:58.96 ID:pf++40SC]

>>10
アカウントのパスワードさえ入力するば、復号化できてるから単純なハッシュではないと思うけども

[12 デフォルトの名無しさん 2017/10/13(金) 18:00:46.72 ID:CEvCUJ8Z]

Appleのバグの話であればヒントを覚えておくところにパスワード突っ込んでしまっていた問題で、パスワード自体を保存する場所は可逆ではないよ

[13 デフォルトの名無しさん 2017/10/13(金) 19:03:00.96 ID:pf++40SC]

>>12
キーチェーンアクセスで、ユーザーが入力した項目については、”パスワードを表示”でおもいっくそ可逆できるけども

同じこと何回書かせるんだよ

[14 デフォルトの名無しさん 2017/10/13(金) 22:40:12.62 ID:s0+Jkp8l]

>>12
パスワードを受け取って認証する側はパスワードを保存しないけど、
パスワードを送る側は生パスワードを持っていないと相手に送れないだろ
Appleはもっとひどいポカをやらかしたわけだけど

[15 デフォルトの名無しさん 2017/11/29(水) 18:59:41.73 ID:e1vjcWVA]

「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性
https://japan.cnet.com/article/35111084/

[16 デフォルトの名無しさん 2017/11/29(水) 22:34:39.43 ID:51eC79nG]

Windowsもパスワードなしでログインできるけどな。