複数のWebサービスで共通のパスワードを使用していないか調べるツール 21
ストーリー by hylom
これをネットサービス化して不特定多数のパスワードをゲットしよう 部門より
これをネットサービス化して不特定多数のパスワードをゲットしよう 部門より
headless曰く、
複数のWebサービスで共通のパスワードを使用する危険性は以前から指摘されているが、このような共通のパスワードを使用しているサービスを調べるコマンドラインツール「shard」がGitHubで公開された(GitHub — shard、Ars Technica、、Register)。
shardはユーザー名とパスワードを指定して実行することで、FacebookやLinkedIn、Reddit、Twitter、Instagramで共通の認証情報を使用していないかどうかを確認できる。認証情報の書かれたファイルを指定することで、複数の認証情報をまとめて確認することも可能だ。
作者のPhilip O'Keefe氏は多くのWebサービスで共通のパスワードを使用していたが、LinkedInから流出したパスワードの中に自分のパスワードが含まれていることを確認したためshardを開発したという。
shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。調査先のサイトはモジュール化されているため、モジュールを作成することで任意のサイトを追加できる。
やりたくない (スコア:2)
>shardはユーザー名とパスワードを指定して実行することで(略
この2つの情報を入れて実行したくないなぁ。
自分で共通のパスワードを入れているなら、自分ではわかるはずだし。
わかっている他人(有名人)のIDと推測できるパスワードをジャカスカ入れて特定に使われたりしそうな予感。
>shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。
この先どんな穴が待ち受けていることやら。
Re:やりたくない (スコア:2)
ふつーに、漏洩したIDとパスワードのリストを突っ込んで回すだけな気がするする。
自分が使っているのなんて、試さない。
Re: (スコア:0)
同じパスワードを設定しているか不安なら付け直せばいいだけのように思うけどね。
>この先どんな穴が待ち受けていることやら。
こんなもの信用して、ツール(もしくはその模造品)がユーザー名とパスワードを収集するのが一番怖い。
Re:やりたくない (スコア:1)
というかパスワードを使いまわしているかどうかなんて普通確認するまでもなく自分で把握しているだろうと。
このツール使って確認しないとわからないんじゃパスワードをちゃんと管理していないという使いまわし云々以前のところに問題があるだろうと。
Re: (スコア:0)
パスワードを使いまわしてる奴が作ったツールをパスワードを使いまわしてるかどうかすら把握できない奴が使うツール
Re: (スコア:0)
ちゃんとパスワード管理してるなんて意識高いですね。
でもそういう人はあんまり数多くないと思うよ。
今まで使いまわしてきたけどやめたい、自分でも覚えてない人が使えばいいのでは。
Re: (スコア:0)
自分で覚えてない時点でこのツール使えないわけだが
Re: (スコア:0)
あなたの言うパスワード管理してない人って自分の作ったアカウントのパスワードを覚えてない(記録もしてない)人のこと?
もうそのサービスまともに使えないじゃん。
使いまわしてきたの分かってるならこのツール使うまでも無い。
Re: (スコア:0)
恐ろしい事に、そーゆー人は実在する。
あっちこっちにアカウント作り散らして一切管理していない。何処にアカウント持ってるかも憶えてないし、当然サービスも使えない。
本人は使えなくても困らないんだけど、そのままでは万一の時に他人に悪用されて周囲に迷惑が及ぶかも知れない。
それらを洗い出すツールやサービスの需要は確実に有ると思う。これからの高齢化社会で、もっと増えるだろう。
だからって、自分のパスワードを預けなればならないシロモノを使うのは如何かと思うのですが…
Re: (スコア:0)
こういうレベルじゃないと「意識高い」とか言われてしまうのは度し難いですね…
Re: (スコア:0)
世の中には、我々が想定しているのよりもさらに下のレ
ベルが存在するということか
果てしない物語
記事になる意味がよくわからない (スコア:2, すばらしい洞察)
どこにでも転がってそうなログイン試行スクリプトにしか見えない……
微妙に似ている (スコア:2)
『sradはユーザー名とパスワードを指定して実行することで、』
みたいな。
Have I been pwned? (スコア:1)
流出したユーザーデータの中に、自分のメールアドレスやIDが含まれていないかチェックする [gigazine.net]
サービスHave I been pwned? [haveibeenpwned.com]で、調べてみたら、
登録した覚えのないAdobeのサービスで自分のアカウント情報が漏えいしていると言ってきた。
なんだこりゃ?
過去の自分のメールをさかのぼって検索してみても、Adobeに登録したなんて記録はない。
うーむ。ミステリー。
ちなみに、"';--have i been pwned?"は、それ自体メールアドレス収集を目的としているのでは?
と疑う向きもあるので、御利用にはそういうリスクがあることを理解し、御自身の責任の上でどうぞ。
Re: (スコア:0)
体験版等を試した記憶はありませんか?
ダウンロードするのにID必須です
もしくはCS2無料祭りの時とか?
これもID必須だったはずです
Re: (スコア:0)
>CS2無料祭り
割れ自慢お疲れ様です
Re: (スコア:0)
う~む、そういうのやった覚えがないなぁ。
もしやって忘れてしまっていたのだとしても、アカウント作る際に絶対メールが届いていると思うんだよね。
それらしいのが見当たらなかったし。
スクリプトキディが喜びそうな。。 (スコア:0)
ブロックしづらいなこれ。。
ヤバくね?
Re: (スコア:0)
ログイン認証にCAPTCHAでも組み合わせりゃいいんじゃないの?
変なのが紛れ込んでるな (スコア:0)
なにがなんでもこのツールには(攻撃者側ではない側でも)意義があるんだってことにしたい奴が
大量にACで暴れてるけどさ、
(攻撃者側ではない側で)このツールを使おうとするような人の存在自体がそもそも問題だって気づけよ
アカウント名とパスワードも使いまわし、さらにどこに登録したかも覚えてないような人?
まずそういう人には「こういうパスワードを入力させるツールは使うな」ってことを徹底的に叩きこむのが先
交通ルールもしらない奴が路上運転してるようなもんなんだから周囲も止めてやれよ
そういう人間としての当たり前の感覚をまず身につけろ、それまでスラドには来ないでくれ
迷惑だから
各サイトに対しては、アカウント名のみ指定で手続きができる「アカウントのリカバリを試行する」のが無難だろうね
Re: (スコア:0)
GitHubの規約ってどこまでのシロモノまで許容されるんだろう?
ふたば掲示板の書込み規制回避を試みるツール [github.com]とかさ