アカウント名:
パスワード:
一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。それなら辞書攻撃で現実的に破られるラインだ。かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。
Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。
てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?
連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。
それじゃあ危険だなあ。
ちなみに、
>それなら辞書攻撃で現実的に破られるラインだ。
この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。
Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。攻撃者は仕様の穴を突いてくる。
パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。制限に抜け穴があれば容易に突破されるということを意味するからだ。
そして完全なシステムは存在しない。
その昔、原始的な Web システムは無制限にログインの試行を許し
なんだかまたMS信者がだんだんオカルトにハマって行くなあ。セキュリティに関してMSは悪くない、と言い張るために話をそらしたり、ユーザーに謂れの無いケチばかりつけたり、大変だね。
要するに、今回の話はHotmailのシステムには(パスワードの強弱とは関係無い)脆弱製が存在する、というだけの話だと思うんだけど。いくらパスワードが強固でも、今回の問題とは全然関係ないと思うよ。
ところで、あなたが考える「本質的な対策」ってのも興味があるので教えて。メールサーバへのパスワードが(今現在のネットワーク環境で)十分に強固、ってのがどれくらいなのか。サーバの応答速度、試行回数、主要なサービスの(普通は当然対策が取られていると思われる)辞書攻撃に対して無防備なサービスの割合(そしてHotmailは本当に完全無防備なのか)、実際にクラックされた事例なども考慮した「事実に基づく」意見をお願いしますね。
自覚がないようだから、よく読んでほしい。
セキュリティに関しては「これがあるから大丈夫」ではなくて「これが破られたらどんな影響が出るか」という考え方をするべきだ。
Hotmail にパスワードにまつわる脆弱性があると仮定しよう。だからといって弱いパスワードを使ってかまわない理由にはならない。
その未知の脆弱性は強制的にパスワードをリセットするものかもしれない。試行回数制限を回避するものかもしれない。前者についてはエンドユーザにできることは何もないが、後者は強いパスワードを使うことで防止できる。
同様に、パスワードの安全性に関しても現在の Hotmail にフォーカスして見積もろうとするのが間違いだ。Hotmail のサービス担当者がやることであって、エンドユーザが見様見真似で行なっても益がない。
本質的な対策の一つは、良いパスワードを使うこと。良いパスワードの作り方はいくつか言われている。
JPCERT/CC [jpcert.or.jp]
US-CERT [us-cert.gov]
マイクロソフト [microsoft.com]
パスワードには、以下の単語を使用しないでください。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
弱いパスワード (スコア:2)
一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。
それなら辞書攻撃で現実的に破られるラインだ。
かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。
Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。
Re: (スコア:1, 参考になる)
てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?
連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。
それじゃあ危険だなあ。
ちなみに、
>それなら辞書攻撃で現実的に破られるラインだ。
この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?
それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。
Re: (スコア:2)
Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。
攻撃者は仕様の穴を突いてくる。
パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。
十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。
試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。
制限に抜け穴があれば容易に突破されるということを意味するからだ。
そして完全なシステムは存在しない。
その昔、原始的な Web システムは無制限にログインの試行を許し
Re: (スコア:0, すばらしい洞察)
なんだかまたMS信者がだんだんオカルトにハマって行くなあ。セキュリティに関してMSは悪くない、と言い張るために話をそらしたり、ユーザーに謂れの無いケチばかりつけたり、大変だね。
要するに、今回の話はHotmailのシステムには(パスワードの強弱とは関係無い)脆弱製が存在する、というだけの話だと思うんだけど。
いくらパスワードが強固でも、今回の問題とは全然関係ないと思うよ。
ところで、あなたが考える「本質的な対策」ってのも興味があるので教えて。
メールサーバへのパスワードが(今現在のネットワーク環境で)十分に強固、ってのがどれくらいなのか。
サーバの応答速度、試行回数、主要なサービスの(普通は当然対策が取られていると思われる)辞書攻撃に対して無防備なサービスの割合(そしてHotmailは本当に完全無防備なのか)、実際にクラックされた事例なども考慮した「事実に基づく」意見をお願いしますね。
Re:弱いパスワード (スコア:3, 参考になる)
自覚がないようだから、よく読んでほしい。
セキュリティに関しては「これがあるから大丈夫」ではなくて
「これが破られたらどんな影響が出るか」という考え方をするべきだ。
Hotmail にパスワードにまつわる脆弱性があると仮定しよう。
だからといって弱いパスワードを使ってかまわない理由にはならない。
その未知の脆弱性は強制的にパスワードをリセットするものかもしれない。
試行回数制限を回避するものかもしれない。
前者についてはエンドユーザにできることは何もないが、後者は強いパスワードを
使うことで防止できる。
同様に、パスワードの安全性に関しても
現在の Hotmail にフォーカスして見積もろうとするのが間違いだ。
Hotmail のサービス担当者がやることであって、エンドユーザが見様見真似で行なっても益がない。
本質的な対策の一つは、良いパスワードを使うこと。
良いパスワードの作り方はいくつか言われている。
JPCERT/CC [jpcert.or.jp]
US-CERT [us-cert.gov]
マイクロソフト [microsoft.com]
パスワードには、以下の単語を使用しないでください。