アカウント名:
パスワード:
好戦的な手下が先走ってやらかしちゃったとかそういうやつなんだろうか
統率された組織でないのがわかっているのだから、ISIS台頭前のアルカイダのように「北米を拠点とするアノニマスを名乗るサイバーテログループが事を起こした」のような表現のが良いと思う。長すぎるなら、アノニマスの一派閥が・・・とか。
正直、ISISと同じで行動の後に主義主張をくっつけてるとしか思えない
手段のためには目的を選ばないんですね
どっかの課長みたいですね
手下も何も、別に組織じゃないし、メンバー同士の繋がりも余りないからなぁ。スクリプトキディが遊びで攻撃して、取り敢えずアノニマスって名乗っとけ!くらいのノリでしょ。
Anonymousとなのるグループ同士攻撃し合えばいいのにな。勝った方が正当にAnonymousを名乗れると。
# そういう自分もここではAnonymous。勝ってもないのに。
そう言っても明確に統制された上下関係のある組織じゃないしな。
# その意味ではISISにも似ている
極論を言えば、「悪人は殺しても犯罪ではない」みたいな感覚。IS狙いであればサイバーテロをしても悪行ではないという独善的な考えでしょう。その結果、関係のない人たちも被害を受けました。ハクティビストの特徴です。
全力じゃないから、「悪ふざけ」って事でしょ?アノニマスが本気で攻撃したら、ロケットや人工衛星を使ってISISの本拠地や霞ヶ浦を攻撃してえらいことですわ。
上下関係はないんだろうけど、「いつこのへんを攻撃」くらいの連絡は取ってることがわかってるし実際、霞ヶ浦の件こそ一人の先走りだった [security.srad.jp]よ。
何はともあれ弱いパスワード使ってる職員には何らかの処分を下せよ。情報セキュリティ再教育キャンプ送りとか。
情報セキュリティ再教育キャンプ
「貴様のパスワードは何だ!」 「Sir、xxxであります、Sir!」# ダメじゃん
しかし実際のところ強固なパスワード使うのは面倒だよな。
正直なところ会社のシステムで使うパスワードは個人的に使ってるパスワードよりかなり単純だし複数システムでも同じパスワード設定したりしてる。
まぁこうやって流出した時に文句言われないように大多数のユーザよりはましなパスワードにしてるけど。
「分かりやすい英単語の組み合わせでもいいから長いパスワードにしろよ」とか言われるが、キーボードが使える環境ならいいけど、スマホやガラケーでの英語長文入力って結構めんどいんですよね…。入力支援を使うとそれ自体が弱点となる罠(フリック一回で入力できる「ユーザ定義文字列」とか辞書変換登録とかでパスワードそのまんま入れちゃうとか)。
今適当に思いつきました。
手段のためには目的を選ばないんですね。
#それはプラズマだと思います。
辞書から容易に推測されるものはともかく数字や大文字・小文字、記号を混ぜてもダメなんですかね
1文字6bit(つまりBase64)とすると、8文字48bitですね。280兆(=280テラ)通りくらい。2.8GHzのプロセッサで1クロックに1回パスワードチャレンジできるとするなら、10万秒=28時間で総当たり可能。10クロックに1回なら10日だし、逆にコア数が10個あれば3時間くらいって感じじゃないですかね。
並列処理だの量子コンピュータだの、更には通信ケーブルの信号のAmpあげさげを物理的に監視してパスワードぶっこ抜いたりだの、暗号処理に未来はあるんですかね・・・
あまりにも短いパスワードは論外としても、文字列の長さに頼るよりもアカウントロックまでの回数や認証処理を延々と繰り返してくるクライアントのIPアドレス制限等を充実させるほうが総当り等のようなゴリ押し技には効果的に思える。
幾らかの失敗後にそういう制限をつけるのは正しいと思う。けど、なかなかうまく実装できてないところも多い。それより、普通に考えて、総当たり攻撃を受ける側がそれほどのパフォーマンスがないと思うけどね。1秒間に1億回の認証とか、普通できるもんなんだろうか。スラドとか1秒に1000トライでも厳しいんじゃなかろうか。
総当たりでごり押しするのって、ハッシュが漏洩済みで復元するためにするか、Googleなど大規模なサーバーパフォーマンスを持ってるターゲットくらいでは。そっちはアカウントロックなどやるだろうけど。AppleがiCloudのFindMyIPhone機能でアカウントロックなど実装してなくてセレブがハックされたんだっけ。
まぁ、パスワードは長いに越したことはない。自分を守るために。サービス側が守ってくれるとは限らない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:0)
好戦的な手下が先走ってやらかしちゃったとかそういうやつなんだろうか
Re:まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:1)
統率された組織でないのがわかっているのだから、ISIS台頭前のアルカイダのように「北米を拠点とするアノニマスを名乗るサイバーテログループが事を起こした」のような表現のが良いと思う。
長すぎるなら、アノニマスの一派閥が・・・とか。
Re: (スコア:0)
正直、ISISと同じで
行動の後に主義主張をくっつけてるとしか思えない
Re:まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:1)
手段のためには目的を選ばないんですね
Re:まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:1)
どっかの課長みたいですね
Re: (スコア:0)
手下も何も、別に組織じゃないし、メンバー同士の繋がりも余りないからなぁ。
スクリプトキディが遊びで攻撃して、取り敢えずアノニマスって名乗っとけ!くらいのノリでしょ。
Re: (スコア:0)
Anonymousとなのるグループ同士攻撃し合えばいいのにな。
勝った方が正当にAnonymousを名乗れると。
# そういう自分もここではAnonymous。勝ってもないのに。
Re: (スコア:0)
そう言っても明確に統制された上下関係のある組織じゃないしな。
# その意味ではISISにも似ている
Re: (スコア:0)
極論を言えば、「悪人は殺しても犯罪ではない」みたいな感覚。
IS狙いであればサイバーテロをしても悪行ではないという独善的な考えでしょう。
その結果、関係のない人たちも被害を受けました。
ハクティビストの特徴です。
Re: (スコア:0)
全力じゃないから、「悪ふざけ」って事でしょ?
アノニマスが本気で攻撃したら、ロケットや人工衛星を使ってISISの本拠地や霞ヶ浦を攻撃してえらいことですわ。
Re: (スコア:0)
上下関係はないんだろうけど、「いつこのへんを攻撃」くらいの連絡は取ってることがわかってるし
実際、霞ヶ浦の件こそ一人の先走りだった [security.srad.jp]よ。
特に理由のない攻撃がESAを襲う——!! (スコア:0)
何はともあれ弱いパスワード使ってる職員には何らかの処分を下せよ。
情報セキュリティ再教育キャンプ送りとか。
Re:特に理由のない攻撃がESAを襲う——!! (スコア:1)
「貴様のパスワードは何だ!」
「Sir、xxxであります、Sir!」
# ダメじゃん
Re: (スコア:0)
しかし実際のところ強固なパスワード使うのは面倒だよな。
正直なところ会社のシステムで使うパスワードは
個人的に使ってるパスワードよりかなり単純だし
複数システムでも同じパスワード設定したりしてる。
まぁこうやって流出した時に文句言われないように
大多数のユーザよりはましなパスワードにしてるけど。
Re: (スコア:0)
「分かりやすい英単語の組み合わせでもいいから長いパスワードにしろよ」とか言われるが、
キーボードが使える環境ならいいけど、スマホやガラケーでの英語長文入力って結構めんどいんですよね…。
入力支援を使うとそれ自体が弱点となる罠(フリック一回で入力できる「ユーザ定義文字列」とか辞書変換登録とかでパスワードそのまんま入れちゃうとか)。
アノニマス宇宙人説 (スコア:0)
今適当に思いつきました。
Re: (スコア:0)
手段のためには目的を選ばないんですね。
#それはプラズマだと思います。
8文字では不十分なんですね (スコア:0)
辞書から容易に推測されるものはともかく
数字や大文字・小文字、記号を混ぜてもダメなんですかね
Re: (スコア:0)
1文字6bit(つまりBase64)とすると、8文字48bitですね。280兆(=280テラ)通りくらい。2.8GHzのプロセッサで1クロックに1回パスワードチャレンジできるとするなら、10万秒=28時間で総当たり可能。10クロックに1回なら10日だし、逆にコア数が10個あれば3時間くらいって感じじゃないですかね。
Re: (スコア:0)
並列処理だの量子コンピュータだの、更には通信ケーブルの信号のAmpあげさげを物理的に監視してパスワードぶっこ抜いたりだの、暗号処理に未来はあるんですかね・・・
文字列長よりも (スコア:0)
あまりにも短いパスワードは論外としても、文字列の長さに頼るよりも
アカウントロックまでの回数や
認証処理を延々と繰り返してくるクライアントのIPアドレス制限等を充実させるほうが
総当り等のようなゴリ押し技には効果的に思える。
Re: (スコア:0)
幾らかの失敗後にそういう制限をつけるのは正しいと思う。けど、なかなかうまく実装できてないところも多い。
それより、普通に考えて、総当たり攻撃を受ける側がそれほどのパフォーマンスがないと思うけどね。
1秒間に1億回の認証とか、普通できるもんなんだろうか。スラドとか1秒に1000トライでも厳しいんじゃなかろうか。
総当たりでごり押しするのって、ハッシュが漏洩済みで復元するためにするか、Googleなど大規模なサーバーパフォーマンスを持ってるターゲットくらいでは。そっちはアカウントロックなどやるだろうけど。
AppleがiCloudのFindMyIPhone機能でアカウントロックなど実装してなくてセレブがハックされたんだっけ。
まぁ、パスワードは長いに越したことはない。自分を守るために。サービス側が守ってくれるとは限らない。