パスワードに記号が使えない ― 2009/10/08 21:51
セキュリティホール memo
本当に、アサブロとかアサブロとかアサブロはなんとかなりませんかねぇ。
うちはセキュリティ関連サイトではありませんので、なにか特筆することがないとスルーしてるのですけれど
Windows Live Hotmailのアカウント情報が大量に流出 - Computerworld.jp
Gmailにフィッシング攻撃、一部のアカウントのパスワードが流出 - Computerworld.jp
などフィッシング詐欺で盗まれたと思われるパスワードが大量に流出してるのが発覚した(ややこしい)件で
大半のユーザーが安易なパスワードを利用、流出情報を分析 - ITmedia
更に言えば、パスワードに記号が含まれていないとパスワードとして認めない仕組みを運営に要求するべきでは?
そもそも今回はパスワードクラックではなくフィッシング詐欺だと言われてるので、安易なパスワードがどうとかいう問題じゃないと思うのですよ。
なにより本質からかけ離れたこのニュースに何の価値があるのかと小一時間(ry。
元ネタが同じ(と思うのだけど)でも
フィッシング詐欺のデータ流出:脆弱なパスワードが多いことが明らかに - ZDNet Japan
もちろん
つうか、そんなパスワードはシステムで弾けよ!
ってことで冒頭の通りパスワードの作り方と管理は十分注意を払いましょうってことで。
パスワードの作り方はいろいろありますので、適当にググって下さい。
うちだとこんなんとかw
パスワードの作り方でそんなに必死にならなくても
(日本語キーボードなら「みかか」逆変換でパスワードにする手もあるという話)
パスワードクラックと書いたのでついでに追記しときます。
クラック方法はいろいろあるのでしょうけれど、システム側がパスワードを間違えた際に次のパスワードを受け付けるまでの待ち時間を延ばすように対処してくれると、ずいぶんクラックされにくくなると思うのですよね。
例えば、間違えたのが1回目なら次のパスワード入力は2秒後、2回目なら4秒後、3回目なら8秒後……10回目なら1024秒後と間違う度に待ち時間が倍になれば、パスワードに記号が含まれていなくても耐久性が上がると思うのですよね。
ねぇアサブロさんどうでしょうか?
もちろんフィッシングやマルウェアにかかれば何の意味もないのですけどね。
Choosing a smart password(Gmail blog, 10/6)。ちょっと訳してみた。問題1: 複数の web サイトでパスワードを使いまわしてしまうでも、記号を許さないサイトって多いよねえ。
回答1: 個別のパスワードを使え
問題2: ありがちなパスワードや、辞書に載っている単語を使ってしまう
回答2: 文字、数字、記号が混じったパスワードを使え
問題3: 個人情報に基づいたパスワードをつくってしまう
回答3: 他人に推測されにくパスワードをつくれ
問題4: パスワードを書き出して、安全ではない場所に保管してしまう
回答4: パスワード備忘録は、簡単には見つけられない秘密の場所に隠せ
問題5: パスワードの回復について
回答5: パスワード回復オプションが最新かつセキュアであることを確認しろ
本当に、アサブロとかアサブロとかアサブロはなんとかなりませんかねぇ。
うちはセキュリティ関連サイトではありませんので、なにか特筆することがないとスルーしてるのですけれど
Windows Live Hotmailのアカウント情報が大量に流出 - Computerworld.jp
Gmailにフィッシング攻撃、一部のアカウントのパスワードが流出 - Computerworld.jp
などフィッシング詐欺で盗まれたと思われるパスワードが大量に流出してるのが発覚した(ややこしい)件で
大半のユーザーが安易なパスワードを利用、流出情報を分析 - ITmedia
全体の42%が「a~z」までのアルファベットのみでパスワードを構成していた。「0~9」までの数字しか使っていないパスワードも19%に上った。アルファベットと数字を組み合わせたパスワードは30%を占めたが、大文字と小文字の組み合わせは3%のみ、アルファベットと数字に加えて「$%@」などの記号を組み合わせていたのは6%のみだった。それが問題だというなら、パスワードに記号が使えないアサブロのようなサイトを運営している会社から批判するべきでは?
更に言えば、パスワードに記号が含まれていないとパスワードとして認めない仕組みを運営に要求するべきでは?
そもそも今回はパスワードクラックではなくフィッシング詐欺だと言われてるので、安易なパスワードがどうとかいう問題じゃないと思うのですよ。
なにより本質からかけ離れたこのニュースに何の価値があるのかと小一時間(ry。
元ネタが同じ(と思うのだけど)でも
フィッシング詐欺のデータ流出:脆弱なパスワードが多いことが明らかに - ZDNet Japan
オンラインでの総当たり攻撃に対して、パスワードの長さと複雑さは重要な問題になるのだろうか。これは場合による。もしエンドユーザーが正規のサイトを閲覧しているのだと信じていれば、フィッシングによって15文字のパスワードでも簡単に盗まれてしまうし、さらに悪いことにエンドユーザーがマルウェアに感染してしまえば、サイバー犯罪者はそもそもフィッシング詐欺キャンペーンを行う必要さえない。防ぐべきなのは、彼らが1つのパスワードに頼っているユーザーに対してフィッシング詐欺をすることで、使われているすべてのサービスへのアクセスを許してしまうことだ。ずいぶんイメージが違います。
もちろん
123456なんてパスワードは論外ですけどね。
つうか、そんなパスワードはシステムで弾けよ!
ってことで冒頭の通りパスワードの作り方と管理は十分注意を払いましょうってことで。
パスワードの作り方はいろいろありますので、適当にググって下さい。
うちだとこんなんとかw
パスワードの作り方でそんなに必死にならなくても
(日本語キーボードなら「みかか」逆変換でパスワードにする手もあるという話)
パスワードクラックと書いたのでついでに追記しときます。
クラック方法はいろいろあるのでしょうけれど、システム側がパスワードを間違えた際に次のパスワードを受け付けるまでの待ち時間を延ばすように対処してくれると、ずいぶんクラックされにくくなると思うのですよね。
例えば、間違えたのが1回目なら次のパスワード入力は2秒後、2回目なら4秒後、3回目なら8秒後……10回目なら1024秒後と間違う度に待ち時間が倍になれば、パスワードに記号が含まれていなくても耐久性が上がると思うのですよね。
ねぇアサブロさんどうでしょうか?
もちろんフィッシングやマルウェアにかかれば何の意味もないのですけどね。
最近のコメント