Adobeアカウントで最もよく使われていたパスワードは「123456」 29
ストーリー by headless
流出 部門より
流出 部門より
10月に発覚したAdobeへのサイバー攻撃では暗号化されたパスワードを含むユーザーの個人情報が流出しているが、米セキュリティー企業のStricture Consulting Group(SCG)がパスワードを復号したところ、最も多く使われていたのは「123456」だったそうだ(Top 100 Adobe Passwords with Count、
ITmediaエンタープライズの記事、
Gigazineの記事)。
影響を受けるユーザーは当初290万人と発表されていたが(/.J記事)、その後の調査で少なくとも3,800万人に及ぶことが判明している。 SCGが解析したパスワードハッシュは1億3千万件以上とのことで、1位の「123456」は190万件以上で使われており、2位の「123456789(44万件)」、3位の「password(34万件)」を大きく引き離す結果となったそうだ。流出したパスワードは暗号化されていたものの、ハッシュ化はされていなかったことをAdobeが認めているが(本家/.記事)、中にはパスワードのヒントにパスワードをそのまま入力していたユーザーもいたとのこと。SCGはAdobeからの復号鍵提供は受けておらず、試しにログインしてみるといったこともできないため、発表内容には誤りが含まれる可能性もあるとのことだ。
影響を受けるユーザーは当初290万人と発表されていたが(/.J記事)、その後の調査で少なくとも3,800万人に及ぶことが判明している。 SCGが解析したパスワードハッシュは1億3千万件以上とのことで、1位の「123456」は190万件以上で使われており、2位の「123456789(44万件)」、3位の「password(34万件)」を大きく引き離す結果となったそうだ。流出したパスワードは暗号化されていたものの、ハッシュ化はされていなかったことをAdobeが認めているが(本家/.記事)、中にはパスワードのヒントにパスワードをそのまま入力していたユーザーもいたとのこと。SCGはAdobeからの復号鍵提供は受けておらず、試しにログインしてみるといったこともできないため、発表内容には誤りが含まれる可能性もあるとのことだ。
パスワード辞書に載ってる単語はまずいと思うけど (スコア:3, 興味深い)
許容される記号、数字、英字大文字小文字を交えた8ケタ以上のパスワードとか言われると、本当に困る時がある。
記憶できないから、結局、テキストに保存する事になって本末転倒だし。
お客が設定した緩いパスワードによる脆弱性を考えると、メールアドレス=IDってまずい気がするんだけど。
それ以外のIDって不便なんだよねぇ…
Re:パスワード辞書に載ってる単語はまずいと思うけど (スコア:1)
> 記憶できないから、結局、テキストに保存する事になって本末転倒だし。
むしろ積極的にテキストに保存して、そのテキストを強いパスワードと暗号で暗号化すべきだと思いますよ。
# Adobe の件は「守るべき価値に相応わしい強度のパスワードが使われていた」に一票
お前は今まで作ったアカウントの数を覚えているのか? (スコア:0)
アカウントの一覧は紙に作っておいた方がいいよ。書き出しておけば、パスワードの漏洩の際にはパスワードの変更漏れを防げるし、パスワードを記憶のみに頼ることが無謀ということに気が付くから
Re:お前は今まで作ったアカウントの数を覚えているのか? (スコア:1)
紙に書いておけばネットワーク越しにクラックされることはないでしょうしね
いや,カメラ対策に点字にするべきか…
Re: (スコア:0)
一覧は要るに同意。
パスワード記憶としてだけでなく、ほぼ死んでるアカウントとか、どこにどの名前、メアド、電話番号、リマインダが登録されてるか、
簡単に追跡できるようにしておいた方がいい。電話番号変える時とかの影響がよく見える。
メモする習慣ができてしまえば項目増やす手間はどうって事無いから。
Re: (スコア:0)
辞書に乗ってる単語複数でいいよ、文字種かえんのはほぼ意味ない、辞書攻撃は単語一つにはまあ有効だけど、複数になるとほぼ無力、
Re: (スコア:0)
hashcat-plusには辞書単語結合攻撃標準搭載されてますぜ。結合は確かに基本単語を絞る必要はありますがね、悪いことは言いませんから3つ以上にしといた方がね、あんたのためですよ。
Re: (スコア:0)
実際「よく知られた単語の組み合わせとかばっかで解読余裕でした^^」ということのようだし。
普通の人が思いつける単語なんてせいぜい数千語だからASCII文字のランダムな組み合わせ2文字程度のエントロピーしかない。2つ組み合わせて4文字、3つでも6文字。一般的な単語をどうしても使うなら「パスフレーズ」くらいには長くしないと話にならんわな。
Re:パスワード辞書に載ってる単語はまずいと思うけど (スコア:1)
>「パスフレーズ」くらいには長くしないと話にならんわな。
「黄昏よりも暗きもの(略)」
「我は放つ光の(略)」
「ザーザードザーザード(略)」
あたりが特定の世代で頻出するようになるんですねわかります。
Re: (スコア:0)
社内のシステムなんかだと、有効期限2ヶ月、過去10回分は再利用できない、10文字以上の英・数・記号の最低ひとつずつ入れる、みたいに強すぎるセキュリティポリシーがあって、正直うざい。ルールを満たすパスワードを10個作るエクセルシートを作っておいて、二ヶ月にいちど、10回のパスワード変更後に元のパスワードに戻す日があったりして…。パスワード変更が24時間とか一定時間内に1回しか出来ないシステムだとそれもダメけど…。
Re: (スコア:0)
そして使われる「Abcdefg!01」~「Abcdefg!99」ループ
headless他、ニュースサイト記者へ (スコア:1)
123456 は、私の使っているパスワードですので
勝手に晒さないでください。
Re: (スコア:0)
おれのパスワードだから赤の他人にどうこう言われる筋合いは無い!
# と、友人の友人の知り合いの同じ都道府県に住んでるどっかのだれかが言ってました。
ほこ×たて (スコア:1)
セキュリティ的に駄目なのはどっち?対決。
「123456という単純なパスワード」vs「データ流出でパスワードが逆算できる杜撰なシステム」
ファイッ!
Re: (スコア:0)
マジで、なんで逆算できるのかがわからん。123456みたな辞書に載ってるやつであたりをつけてったってこと?このパスワードのハッシュ化ってパスワードと共通鍵だけに依存してるんだろうか?
Re:ほこ×たて (スコア:2)
マジで、なんで逆算できるのかがわからん。123456みたな辞書に載ってるやつであたりをつけてったってこと?このパスワードのハッシュ化ってパスワードと共通鍵だけに依存してるんだろうか?
タレコミ文の参照先に書いてありますが、
「共通鍵暗号方式で、常に同じ共通鍵を使っていて、暗号化モードがECBで、大抵がよく知られた単語の組み合わせだし、寛容なユーザーがヒントにパスワードそのものを書いてくれてたからTop100を割り出すのは余裕だった」
ということみたいです。
関連リンクを見ると一目瞭然 (スコア:0)
この手の調査をするたびに言われていたことが再確認されただけか。
関連リンクから醸し出される圧倒的なまでの勢い (スコア:0)
なんという戦力。圧倒的ではないか我が軍は・・・!
いやもうなんていうか、セキュリティもクソもあったもんじゃないな。こんだけザルなパスワード使われたらどうしようもない。
むしろ積極的に使用している (スコア:0)
朝日新聞だとかBLOGOSだとか、ログインしないと記事が読めないサイトでは、アカウントもパスワードもこういうものにしてます
登録メアドも捨て垢。
Re:むしろ積極的に使用している (スコア:1)
自分もよく使う、捨てアカウントで
試しにダウンロード仕様とする時に、ユーザー登録を求めるような面倒なサイトでよくやるね。
真面目なパスワードを入れた方が、漏れた時危ない気もするし・・・実際漏れたわけだし(^^;
Re:むしろ積極的に使用している (スコア:3, 参考になる)
Adobe IDって確か体験版をダウンロードするときとかでも作らされたと思うんだよね。だから、そういう程度の用途のアカウントに真面目なパスワードを設定するかって言われると確かにしない。面倒だし、漏れても実害少ないし。多分、同じようなことを考えた人が多数いたってだけの話で、これが例えばネットバンクのパスワードが123456が多数だったってのとは、だいぶ話の重さが違うと思うんです。
Re: (スコア:0)
ネットバンクの第一暗証ってデフォルトでキャッシュカードの暗証番号と同じだったりしてつまり数字4桁なわけでさらにネットバンク側が突然口座番号もログインIDに使えるようにするとか「改悪」したりしてもうどうしたらいいやら。
http://srad.jp/journal/573932/ [srad.jp]
Re: (スコア:0)
要は三文判ですよね。
お漏らし企業にゴツい情報わたしたくない。
Re:むしろ積極的に使用している (スコア:1)
10分メールか何かで登録して,Cookieが切れたら再登録とか.
いっそのことbugmenotを使うとか
Re: (スコア:0)
捨てアカウントであっても、利用契約上はあなたが契約したことになっていて、あなたの識別としてのアカウントなので・・・
乗っ取られたらよろしくないんじゃない?
捨て垢で捨てパスワードならば、パスワード管理ツールでパスワードくらい作ろうよ。
って思うけど。
そもそもパスワードを覚えようと思う時点で間違っていて、
無数のアカウントはその手のツールで管理しましょうよ。
Re: (スコア:0)
めんどくさい
住所もカード情報も不要なアカウントなら捨て用にしてる
不正流用しないとサイト側が明言してるし
>パスワードのヒントにパスワードをそのまま入力していたユーザー
これもしてる
いくつもうざいんだよ→AppleID
Re: (スコア:0)
めんどくさいけど使うんだ。
私はそういうサイトってめんどくさいから使わない。
Re:むしろ積極的に使用している (スコア:1)
めんどうだがiPad買っちゃったしな
パスワード云々よりも (スコア:0)
アドビ専用のメールアドレスに、英語の出会い系メールが送られてくるようになったのが問題。
結局なんの補償もなかったしなぁ・・・