Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた? 13
ストーリー by hylom
Facebookアカウントじゃなくて良かったですね 部門より
Facebookアカウントじゃなくて良かったですね 部門より
headless 曰く、
マーク・ザッカーバーグ氏のTwitterアカウントとPinterestアカウントが一時乗っ取られた。実行したOurMine Teamでは、LinkedInから流出したパスワードを使用したと主張しているそうだ(VentureBeat、Guardian、Softpedia)。
LinkedInでは2012年に情報流出事件が発生したが、この際に別途取得したというアカウント情報が売りに出されていたことが5月に報じられている。2012年当時は約650万件の暗号化されたパスワードファイル(SHA-1、ソルトなし)のみがオンラインで公開され、LinkedInでは具体的な流出数を明らかにしていなかった。しかし、ダークウェブで売り出されたアカウント情報は1億6,700万件。このうち1億1,700万件はメールアドレスと暗号化されたパスワードが含まれていたという。
LinkedInでは影響を受けるユーザーのパスワードをリセットするなどの措置を取っているが、共通のパスワードを使用している他のWebサービスは放置されるケースも多い。
OurMine Teamはサウジアラビアのハッキンググループで、現在凍結されているTwitterアカウント(Googleキャッシュ)では、このほかにもビル・ゲイツ氏のアカウントなどを乗っ取ったとも主張している。また、ザッカーバーグ氏のInstagramアカウントも乗っ取ったと述べていたらしいが、Facebookでは同社の運営する各サービスに関しては不正にアクセスされた形跡はないとコメントしているとのこと。
なお、ザッカーバーグ氏のTwitterアカウントは2012年以来投稿がなく、Pinterestについてもあまり使っていなかったようだ。
完全にサービス毎に別のパスワードってのも無理筋 (スコア:1)
めったに使わないサービスは、使う度にパスワードを再設定ってのもいいかもしれない
Re:完全にサービス毎に別のパスワードってのも無理筋 (スコア:3)
keepass [keepass.info]などを使っていれば特に無理ではありません
Re: (スコア:0)
現実的には、パスワード管理してる人は、いわゆる情強の中のさらに一部のみ。
一般の人は面倒なことはやりたがらない。セキュリティより便利(簡単)が優先される。
パスワード管理をアプリに任せれば覚える必要もないし簡単じゃん、と言いたいだろうが、彼らにしてみればそもそもパスワード管理が面倒。
パスワード管理をきっちりやってる人と2段階認証を活用してる人は全体から見て同程度に少数だと思う。
# 最近のTeamViewerの不正アクセスの件を考えると、ウェブブラウザにパスワードを保存しておくのは危険だと思った。
Re: (スコア:0)
そういうツールって、クラウドサービスタイプじゃないと、違う端末からアクセスしようとする場合にはお手上げ。
で、クラウドサービスだとそこがクラックされたらお終い [security.srad.jp]。
なかなかオールマイティで且つ安全な方法というのは無いものだ。
Re:完全にサービス毎に別のパスワードってのも無理筋 (スコア:2, 参考になる)
データファイルの暗号化のキーファイルは使う端末にローカルで保持してる。
なので 使う端末でデータは全端末で共有できて、なおかつクラウドサービス側をクラックされても、暗号キーは漏れない。
なので、その2点に関してなら簡単に解決する。
Re:完全にサービス毎に別のパスワードってのも無理筋 (スコア:2)
keepassは単純な1つのファイルにデータを保存するので,それをdropboxやonedriveなどで同期すれば普通にアクセスできます
そして,keepassにはファイルをパスワードの代わりにできるキーファイル機能があり,キーファイルだけローカルでコピーして同期しなければ,
たとえdropboxからファイルが流出しても安心です
Re: (スコア:0)
パスワードを管理するツールのパスワードを管理するツールのパスワードを管理するツールの…
Re: (スコア:0)
上にいろいろ返答が並んでるし正しいと思うけど、
たとえ暗号化してもやはりクラウドストレージに保存するのは”安全”とは言いづらい面も。
暗号を破るのは大変だろうが不可能ではない。さすがに大量のリソースを使って要人でもない自分のパスワードを割り出そうなんて輩はいないだろうけど、リスクであることは事実。
もちろん、それを理解した上で、同期の利便性を優先し使用してるんだろうけど。
自分も同様の使い方してたけど、ローカルオンリーでのWiFiでの同期ができるようになったからクラウドに置くのはやめた。
ちなみに1password。
Re:完全にサービス毎に別のパスワードってのも無理筋 (スコア:2, 参考になる)
以前誰かがスラドに書いていた方法で、「ああ、なるほど」と感心した方法を自分も使っている。
その人が書いていたのは、すべてのアカウントに共通な文字列を決めておいて、
アカウントごとにその共通文字列に変更を加えたり文字を足したりしてユニークなパスワードを作る、というもの。
共通文字列は英数大文字小文字記号の組み合わせで、なるべく類推されにくいもの。それはどこにも書き留めずに覚える。
そしてアカウント毎の共通文字列からの変更差分だけをメモ帳などに記録しておく。
これで無理なくアカウントごとに類推されにくくユニークなパスワードを持てるし、
万が一メモ書きを他人に見られても問題ない。
アイディアを披露してくれた人、感謝。
Re: (スコア:0)
共通キー: AAAA
アカウントA: BBBB -> AAAABBBB
アカウントB: CCCC -> AAAACCCC
ってこと?
結局アカウントごとにユニークな部分があり、それは覚えておかないといけない(またはメモ)というなら、
普通にパスワード管理アプリ使う方が楽な気も。
自分の場合、管理アプリみると既に900件も登録されてるから、そちらのやり方は絶対破綻してるわ〜
Re: (スコア:0)
完全にサービス毎に別のパスワードってのも無理筋
こういう考え方は危機感が大変欠如していると思う。
対象のサービス管理者にアカウントハックされても良いサービスとしてそのように設定しているのならいいのだが、
そうでないのなら、パスワード使い回しは脆弱性そのものなのだから。
Re: (スコア:0)
泥スマホは入っているキーボードによっては打てない記号があった記憶が。。
f-10dでどっかのサービス使うのやめた理由
さすがFacebookの創始者 (スコア:0)
それくらいのセキュリティ/プライバシー意識じゃないとあんなサービス生み出せないよ。