「よく使われる危険なパスワードTop500」にご注意を 173
ストーリー by hylom
リストにあるパスワードを使っている/.erは直ちに変更してね、 部門より
リストにあるパスワードを使っている/.erは直ちに変更してね、 部門より
rijiの日記 曰く
GIGAZINEで紹介されている「よく使われる危険なパスワードトップ500」が興味深い(What's My Pass?に掲載されている元ネタ)。
さすがにそれはマズいだろって感じのものが多いが、「8675309」のようになぜそれがよく使われるのかわからないものもある。このリストに載っていなくても、辞書に載っているような単語は避けるのが基本でしょうか。
ちなみに、トップ100は下記のような感じです。
| 1~5位 | 123456 | password | 12345678 | 1234 | pussy |
|---|---|---|---|---|---|
| 6~10位 | 12345 | dragon | qwerty | 696969 | mustang |
| 11~15位 | letmein | baseball | master | michael | football |
| 16~20位 | shadow | monkey | abc123 | pass | fuckme |
| 21~25位 | 6969 | jordan | harley | ranger | iwantu |
| 26~30位 | jennifer | hunter | fuck | 2000 | test |
| 31~35位 | batman | trustno1 | thomas | tigger | robert |
| 36~40位 | access | love | buster | 1234567 | soccer |
| 41~45位 | hockey | killer | george | sexy | andrew |
| 46~50位 | charlie | superman | asshole | fuckyou | dallas |
| 51~55位 | jessica | panties | pepper | 1111 | austin |
| 56~60位 | william | daniel | golfer | summer | heather |
| 61~65位 | hammer | yankees | joshua | maggie | biteme |
| 66~70位 | enter | ashley | thunder | cowboy | silver |
| 71~75位 | richard | fucker | orange | merlin | michelle |
| 76~80位 | corvette | bigdog | cheese | matthew | 121212 |
| 81~85位 | patrick | martin | freedom | ginger | blowjob |
| 86~90位 | nicole | sparky | yellow | camaro | secret |
| 91~95位 | dick | falcon | taylor | 111111 | 131313 |
| 96~100位 | 123123 | bitch | hello | scooter | please |
実体験 (スコア:5, 参考になる)
DCに設置してもらってネットにつながってから色々作業しようと思ってました。
で、rootのパスワードに「123456」を設定してました。
メールで「ネットにつなぎましたよー」と連絡もらって、
さあ作業しようと思ったらログインできません。ぎゃふん。
東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。
ワームに犯された上、ルートキットを孕ませられてしまったので、
passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
泣きべそ書きながらrsyncでルートキットを駆除しました。
Re:実体験 (スコア:4, 参考になる)
sshを公開鍵認証のみ受け付けるよう設定しないと、間違いなく食い破られます。
新規にIPをもらってサーバを建てても、半日~1日でログインに失敗したログが現れます。
日本人らしき人名とか、よくあるシステムIDとか、ゾロゾロ、ゾロゾロと。
# 怖いのは、相手側のIPアドレスがことごとく異なること。 この攻撃者は、一体、何台のPCを手下にしているのだろう?
notice : I ignore an anonymous contribution.
Re:実体験 (スコア:4, 参考になる)
rootkit仕掛けられても再インストールしない人に言われても説得力が無いなあ[笑]。
侵入されてるでしょ? 十分じゃなかったって事でしょ?
まず、その手のフィルタは補助でしかない。本気で狙われたら突破される。
現在の分散攻撃に対しては8~10桁のパスワードなど無力です。(半月保たないかもしれない)
この状況で、データセンタに設置したマシンがパスワード認証だぁ?
馬鹿以外に何と呼べと?
※パスワードだけで運用可能なのは、ファイアウォールの内側だけです。(しかも、内部でのウィルス対策が行われているという前提が必要)
1) 認証は公開鍵認証に限定する。鍵の長さはシステムが許す限り長くする。
これが基本。最後の砦。他の対策が全て転けても、最後はココで手間取る筈。
2) リモートログイン可能なユーザからrootは必ず除外すること。
・破られた時の嫌がらせ程度の効力しかないけど、一応やっとく。
3) 一般ユーザは各自のhomeに閉じ込めること。
ファイル転送用途だけの場合はscponlyなどの転送用途に限定されたシェルを使用する。
4) 不要なポートは全て閉じる。 無いと本当に困るものだけを残す。
5) まともなルータが使える場合、sshのログインをルータのVPN経由の接続に限定する(IPsec推奨)。
・イーサネットの口が2口ある場合、物理的にセグメントを分離して接続すると設定が楽
6) 可能ならばルータでNATをかける。
7) iptablesなどのフィルタが利用できる場合は設定する。
これで最低限だと思う。(細かい対策を始めたら際限ないけど)
|東京から横浜まで行ってもらい
「先方」というのが顧客だったら、うちでは間違いなく始末書ですね。
んで、顛末書を作成し、客に提出して平謝りです。 正直、そんな事態だけは避けたい。
notice : I ignore an anonymous contribution.
Re:実体験 (スコア:2, 参考になる)
TELNETじゃなく、SSHを使う理由は、一つには通信経路が信用できないから、暗号化したい、ということですよね。
信用できない通信経路には、途中に何を仕掛けられるか判りませんよね。IPアドレスを偽って侵入しようとするクラッカーもいるかもしれません。
以前、『データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は? [srad.jp]』って話もありましたので、可能性が低い、と言い切れる話でも無いと思います。
Re:実体験 (スコア:2, すばらしい洞察)
ほんとに冗談じゃなく。絶対にやめてください。
二度とするな。
Re:実体験 (スコア:1)
私だったら、最低でも、
- rootのリモートパスワードログインを禁止して、
- suできる唯一の一般ユーザを推測され難いユーザ名で作成し、
- iptablesでリモートログインを許可するIPアドレスを制限する
くらいのことはしますね。もちろん、すべてのパスワードは推測し難いものにします。 の出力などから、適当な長さの文字列を切り出して使います。インターネットからのリモートログインを許可するなら、(アドレス制限するとしても)パスワードログインは許可しませんね。SSHの公開鍵認証の方がパスワード(パスフレーズ)の管理が楽ですから。
Re:実体験 (スコア:1)
Re:実体験 (スコア:5, 参考になる)
DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。
第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。
リモートから作業したのであれば、Rootkitが組み込まれたOSを使って作業したのですよね?だったら、まだrootkitが残ったままの可能性があります。かなりまずいと思いますよ。Rootkitが何なのかを知っている人にとっての普通です。異論はあるでしょうが、それ程特殊な考え方では無いと思いますよ。
参考 [wikipedia.org]。
Re:実体験 (スコア:5, 参考になる)
私もどこまでが「普通」かには自信がありませんが、企業のサーバ管理の専門家に聞いた限りでは、 rootkit 置かれちゃうレベルまで行ってたら再インストールか、最低でも HDD を取り出して他のクリーンであることがわかっているシステムに接続し復旧を試みる、という手順を踏みますね。間違っても、汚染された OS の内側から復旧しようなんて思わない。
たしかに、ただの踏み台やボットがわりに乗っ取られてたりする場合にはそこまで凝った仕掛けは施されていないことは多いでしょうが (無理して攻防戦をするよりも他のもっと弱いサーバーを乗っ取りに行った方が手間がかからない)、 それでも最近は出来合いのキットでもかなり出来のいい(というか恐しい)とも聞きますので、まぁ再インストールするか、管理者を他のもっとわかっている方に交代してもうらのがよいかと思います。
Re:実体験 (スコア:2, すばらしい洞察)
Re:実体験 (スコア:2, すばらしい洞察)
件のサーバをまだ管理されているのであれば、他の方が書かれているように再インストール等の対策を今からでも取られた方がよろしいでしょう。
また、バックエンドにDBや管理LANなどはないでしょうか。
あった場合はそれらにつながっているサーバも攻撃を受けた可能性があります。
すでに下記のように書かれていますが、気になったので念のため。
> イントラネットならともかく、グローバルIPアドレス振られたサーバがほとんどのDCで、
> 私のサーバ1台だけを早急にネットワークから切り離さなければいけない理由がわかりません。
誰も現在のサーバの状態に言及してないので、よけいなおせっかいと思いつつもACで初投稿。
Re:実体験 (スコア:2)
> 私はそれを信頼してます。なんかあったら彼女が責任取ればいいんだしw
「その程度の対応では,sayuporn氏の責任・懲戒・退職だけでは済まず,会社の消滅までいくかもしれないぞ。それで十分と判断するのは止めたほうが,会社の仲間にも迷惑がかからない」
という意味の集中砲火なので,中途半端な援護はsayuporn氏のためには決してならないと思う。
> なんかあったら彼女が責任取ればいいんだしw
恋心を抱いている当の相手も見ている場で,突き放されたようにsayuporn氏に受け止められて氏を傷つけかねない,その台詞はうかつすぎるような・・・。
この書き込みがばれたら,一生,秘めた恋で終わるな。・・・あ,sayuporn氏がWebアクセスログも見れる立場だったら,もう誰が書いたのかバレバレなのか。
Re:実体験 (スコア:4, すばらしい洞察)
今回の場合は、まだ納入したばかりでサービスインしていなかったんですよね?であれば、すぐに切り離しても問題無いはずですから、逆に切り離さない理由が解りません。その根拠は?例えばカーネル内のシステムコールが書き換えられていれば、全然十分ではありません。
到底rootkitとは何かを知っている人の意見とは思えません。sayupornさん個人が管理するPCで、インターネットにも接続せず、何が起こってもsayupornさん自身がすべての責任を取る、と言うのなら、その必要はありません。
しかし、インターネットへ公開するマシンで、そのマシンの不具合で例えば会社の信用に傷がつく、という場合には、単にウィルスに感染しただけでも、OSから再インストールか、安全と確認されているバックアップをリストア、という判断もあろうかと思います。
Re:フォレンジック (スコア:2)
「汚染HDDのディスクイメージを取ってから初期化すれば,新品HDDは無くてもいいだろ?」
とも思いましたが,もしかすると汚染HDDのファームウェアから復元してくる奴もいるかもしれないので,新品HDDを安心料として用意するほうがいいのかな。
リモート作業をとったsayuporn氏の手順は全く感心できない,ということで。そのsayuporn氏は日記に逃げ込んじゃって,まだ吠えているみたいですけど。
> 「普通」のレベルにもよるかもしれませんけど、フォレンジックをやらないで
> 再インストールしちゃうのは原因特定や再発防止、犯人特定を不可能にしちゃうので
> 「インドで野良犬に噛まれても、唾付けときゃ治る」程度の療法でしょう。
idontknow (スコア:3, おもしろおかしい)
"What is the password?"
"I don't know."
"Don't you know it?"
"Yes. I don't know."
Re:idontknow (スコア:1)
501位と502位かもよ。
Re:idontknow (スコア:1)
>> "Yes. I don't know."
>"No, I don't know."かな? 面白いネタだけにそのままコピペされたらアレかと念のためツッコミ。
いやいやいや。
Yesだから面白いんじゃないですか、これ。
過ぎたるは及ばざるが如し (スコア:3, おもしろおかしい)
挑戦した勇者がおったそうな。
勇者は日々、パスフレーズに工夫を加えついには 80 文字を超える
パスフレーズを日々、使うようになったそうな。
しかし、勇者は彼のお気に入りのキー配列のキーボードをカスタマイズ
しまくったキーアサインで使っておった。それが悲劇をうんだのじゃ。
ある日、勇者のお気に入りのキーボードが故障したので彼は予備として
持っておった一個 \500- のごく普通のキーボードに繋ぎかえパスフレーズを
打ったのじゃ。
。。。勇者が予備のキーボードに何度パスフレーズを打っても、キーアサイン設定を
解除してパスフレーズを打っても、ただただ拒絶されるばかりだったそうな。。。
そう、勇者は大脳ではなく小脳でパスフレーズを覚えておったのじゃ。。。。
Re:過ぎたるは及ばざるが如し (スコア:1, 興味深い)
英語配列と日本語配列とで同じ位置にあるものだけにする。
これ鉄則。
GIGAZINEの配慮? (スコア:2, おもしろおかしい)
「あぁ、安易にコピペできないように画像にしたのかァ」と感心したけど、
What's My Pass ? ではテーブルタグに埋めたテキストなのかっ。
どうやって知った? (スコア:2, 興味深い)
Source: Perfect Passwords, Mark Burnett 2005
って書いてました。でこの本の著者はどうやって知ったんだろう?
ついでに:約9人に1人がテーブル9.1(Top500のことかな)のパスワードを使ってるらしいです。
AVG anti-virus data base out of date
Re:どうやって知った? (スコア:2, 興味深い)
Re:どうやって知った? (スコア:1)
>(つまり、大元のソースはどのように統計をとったのでしょう)
「パスワードを教えていただけませんか?」
と言ってチョコレートを渡した [srad.jp]だけではないかと。
Re:どうやって知った? (スコア:1)
# 管理がアマいだけならsaltかけましょう♪
で、もう一つの可能性としては、(以下略)
Re:どうやって知った? (スコア:3, 参考になる)
平文ではありませんが、Windows (Active Directory) であれば「暗号化を元に戻せる状態でパスワードを保存する」 [microsoft.com] というポリシーが設定できますので、これを仕掛ければ良さそうに見えます。
プロトコルの原理上、PPP CHAP [wikipedia.org] をサポートするときにはパスワードが必要です。
最近では流行らないと思いますが、メール関連でも APOP や CRAM-MD5 をサポートするとなると、必然的にパスワードは平文(または復号可能な暗号)で保存せざるを得ないと思います。
9人に1人かぁ (スコア:1)
私の場合「管理者に文字列を知られる可能性がある場合」とか
「アカウントを乗っ取られてもどこにもダメージがでない場合」には
かなり安直な(しかも使い回しの)パスワードを使っちゃいます。
# いや、必要な場所には「強いパスワード」使いますけどね
yp
yamaha, toyota, japan, hentai (スコア:2, おもしろおかしい)
76. corvette
101. porsche
124. dakota
148. compaq
157. ferrari
161. chicago
171. yamaha
280. london
378. toyota
381. paris
396. florida
411. brazil
413. japan
462. hentai
463. newyork
hentaiがランクインしているのがちょっと驚き。
Re:yamaha, toyota, japan, hentai (スコア:2, おもしろおかしい)
「dokata」に見えた。
日本の場合 (スコア:2, 興味深い)
Cainという、辞書+総当りのソフトで解析した事があります。
7割ぐらいが解析できました。
普通の英単語が約1割、アルファベットの固有名詞が約1割。
5割はローマ字、3.5割ぐらいはローマ字人名でした。
(割合は、pwlファイル全体の割合)
「覚えやすく、普通の英語の辞書に載ってない」と言うことで、ローマ字を選ぶ人が多いようです。
#さすがにAC
8675309 (スコア:2, 参考になる)
Re:8675309 (スコア:1)
AもBもCも付かないエンタープライズ号 (スコア:1, 興味深い)
携帯サイトの場合は圧倒的に数字4桁 (スコア:1, 興味深い)
「0000」でした。次が「1234」だったかな。
# ナニなネタなのでAC
あれ?アレは? (スコア:1)
Re:あれ?アレは? (スコア:1, 興味深い)
ところでmanagerとchange_on_installがないよ?なんで?
同じ文字列が? (スコア:1)
Re:同じ文字列が? (スコア:1)
/.Jで使われていそうな危険なパスワード (スコア:1)
モデレータは基本役立たずなの気にしてないよ
Re:/.Jで使われていそうな危険なパスワード (スコア:1)
Re:/.Jで使われていそうな危険なパスワード (スコア:1)
恥ずかしい言葉 (スコア:1)
【効能】
訊かれてうっかり口走ることが無くなります。
他人に知られたくないという気持ちが強くなり、セキュリティに対する意識が強くなります。
【副作用】
知られた瞬間に色々終わります。
# や、終わっちゃダメだろ。
## 終わりたくなければそれなりの行動をするのだ。
8675309が多い理由は (スコア:1)
携帯で入力しているからではなかろうか?
実に左手親指で押しやすい。
123
456
789
*0#
古すぎますが (スコア:1)
以前自分のブログネタにしました。
これでもTOPは"123"です。
イギリスのデータなのでフットボールチーム名がちらほらありますが、
日本の場合は野球チーム名とかも多いかもしれませんね。
puts "This user is a beginning Ruby programmer."
letmein (スコア:1)
「入れて」って。
#心にいつもIDを
Re:letmein (スコア:1)
Re:5位は (スコア:1, おもしろおかしい)
Re:5位は (スコア:5, おもしろおかしい)
Re:5位は (スコア:2, 参考になる)
#リンク先はアダルトサイト特有の18禁ロゴがあるので、クリックは注意
/* Kachou Utumi
I'm Not Rich... */
Re:5位は (スコア:1)
Re:300位: oliver (スコア:1)
あとキーボードの左列のみだったりとか