パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」」記事へのコメント

  • by Anonymous Coward on 2010年01月26日 20時57分 (#1708885)
    4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止だったので
    1回目:11111111
    2回目:22222222



    8回目:88888888

    1回目に戻る
    という人がいました
    案外大丈夫なんだ

    #タイトル11111111にしたらダメだと言われてしまった
    • by nemui4 (20313) on 2010年01月27日 9時31分 (#1709125) 日記

      >4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止だったので

      俺だったら月に合わせて

      mutsuki
      kisaragi
      yayoi3
      uzuki4

      とかやってそう。

      親コメント
      • by Anonymous Coward

        そういうのは辞書攻撃に弱いからダメでしょう。

        しかし、ヒットしたのはアニメキャラ名辞書だったりする。

        • by nemui4 (20313) on 2010年01月28日 8時27分 (#1709718) 日記

          >そういうのは辞書攻撃に弱いからダメでしょう。

          それは承知の上ですね。
          辞書攻撃やその他の手段でハックされるほどの情報持ってないし、そんな立場でもないし。
          そんな攻撃を想定していろんなパスワードを設定してもたぶん忘れそうだしw

          #そういやアニメのキャラってこういう名前多いんだっけ。

          親コメント
    • by Anonymous Coward
      無駄に長い変更履歴管理のシステムを見ると思うんですが、
      定期的なパスワード変更って何で必要なんですかね。

      例えば数字10桁のパスワードが必要なシステムがあったとして、
      攻撃者は
      0000000000
      0000000001
      0000000002

      って試していくでしょ。

      設定されたパスワードが9999999999だったとすると、
      パスワード変更する事で解析にかかる時間はむしろ短くなりますよね

      もちろん変更したことで長くなる場合もあるし、
      すでにアタック済みのパスワードに変更すると
      攻撃者は解析できない事もあると思います
      でも確率的な期待値で考えると完全にプラマイ0でしょう

      セキュリティが向上しないのにユーザに余計な手間を
      かけさせるシステムは滅びた方がいいと思うよ
      • Re:1x8 (スコア:2, 興味深い)

        by Anonymous Coward on 2010年01月26日 21時37分 (#1708908)

        ・パスワードを使用しているのが日本人
        ・ブルートフォースアタックが条件付全自動

        という条件なら、まずは「090」「080」「070」で始まる1千万の数字組、計3千万組を優先させますね。(携帯電話の番号狙い)
        次が「頭2桁が00で次の4桁が1900~2010の間、最後4桁が0101~1231の間の366個になっている数字」。(誕生日などの年月日狙い)

        親コメント
        • by greentea (17971) on 2010年01月27日 0時30分 (#1709021) 日記

          それなら、案外、mmddをddmmに変えるだけで見破られにくい?
          裏をついて、ddを2回繰り返しとか。

          --
          1を聞いて0を知れ!
          親コメント
          • by Anonymous Coward
            しかしmmddでもddmmでも同じという罠が # 誕生日がバレルのでAC
      • by hie (30131) on 2010年01月26日 21時37分 (#1708907) ホームページ
        実はパスワードをチラ見されて第三者にバレバレなのに本人が気づいてないとかいう間抜けなことになっていいなら,それでもいいんじゃないですか?
        私が管理者だったら定期的に変えさせますけど.そういうリテラシの低い人とかいるし.
        たしかに面倒くさいですけどね.
        親コメント
        • by Anonymous Coward
          > 実はパスワードをチラ見されて第三者にバレバレなのに本人が気づいてないとかいう
          > 間抜けなことになっていいなら,それでもいいんじゃないですか?
          元ACとは別人ですが、これに尽きると思います。

          脆弱なパスワードなら短期間の使用でも脆弱ですし、
          ちゃんとしたパスワードなら一ヶ月使おうが一年使おうが危険度はさほどかわらんと思います。
          1時間と100年だったら違うかもしれないので、パスワードは一日3回変えるべしとか、
          同じパスワードを70年続けて使ってはいけない、とかなら理解できなくも無いですが。
          • by Anonymous Coward
            自分のは入力されてるところを見られてもわかりにくいパスワードらしいので
            見られても気にしていない。
      • Re:1x8 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2010年01月26日 21時43分 (#1708913)

        >でも確率的な期待値で考えると完全にプラマイ0でしょう

        「期待値」とはそういう意味じゃないと思うんだなぁボクは。

        親コメント
      • Re:1x8 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2010年01月26日 22時00分 (#1708928)

        途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。
        変えればそうはならない。
        こんな事も分からないのか?

        親コメント
        • by Anonymous Coward
          数字5桁なら 00000 から 99999 の10万件ですよね。
          パスワードが 90000 だとして、ブルートフォースで、80000まで来たときに、 20000 に変更したら、そりゃ安全ですよ。
          でも、それって運だよね。もしかして、あなたは、ブルートフォースされる直前にテレパシーか何かで感じるのかい?

          そもそもブルートフォースって、一気にやるから、定期的に変えようが、その時点のパスワードなんだし、変えても変えなくても安全性は変わらないと思うんだが?

          複数の文字種で長い(20文字以上)パスワードにすれば変える必要もないと思う。
          さらにいえば、どうせサーバー側でハッシュするんだし、漢字でもいいと思うがね。漢字にすれば、それこそブルートフォースじゃ解決できない文字数になる。
        • by Anonymous Coward

          >途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。
          >変えればそうはならない。

          上でも指摘されてるけど、直感的にこう思ってしまう人って多いよね。
          実際のところ総当たり攻撃に対してパスワード変更はあんまり効果ないよね。

          例えばパスワードが数字1桁で、攻撃者は1日に1個ずつ試すとすると、
          パスワードを変更しなければ10日で100%破られる。
          でも毎日パスワードを変えても約65%の確立で破られる。

          銀行の暗証番号見たいに数字4桁ならもっと効果があるように直感的には思えるかもしれないけど、実際に計算してみると約63%の確立で破ら

          • by kousokubus (37099) on 2010年01月27日 0時21分 (#1709018)

            というよりも、設定する変数が少ないです。また、さいころは出目を覚えないので確率的にも間違ってます。
            古典的な「パスワード強度」について簡単に解説します。
            # 非常に古典的な話なので全員知った上で話をしてるのかと思ってましたがそうでもないみたいなので:-P

            パスワードは、試行回数を無限にとれば必ず破られます。
            そのため、「守りたい期間」「単位時間あたりのパスワード試行回数」「パスワード総数」「突破確率」を決める必要があります。
            例えば、守りたい期間が1日、試行回数が1日1回、突破確率を0.5だとするならば、パスワード総数10、つまり数字のみ1桁で十分です。
            # 毎日パスワードをランダムに変えた場合、さいころは出目を覚えないので、常に突破確率は0.1です。

            また、上記の変数からどのくらいの期間安全なのかも判ります。
            例えば銀行のパスワードであれば、4桁数字のみなので「パスワード総数」=「10000」になります。(実際にはぞろ目は拒否されたりするけどここでは考えない)
            確率的に普通に破られたと見なす0.5を突破確率とおき、試行回数を1ヶ月に2回(3回目でロックされるので毎月2回までは試行可能)だとします。
            すると、208年程度は安全であると判ります。

            ここで例えば、「お年玉切手シートが当たる程度の運の良さで突破されたらやだなあ」と思うのであれば
            「100本に2本(もらえた年賀状は1枚とする)」なので、突破確率は0.02です。
            つまり、お年玉切手シートに当たる程度の幸運の持ち主からでも、8年程度は安全だと言えます。

            iPhoneも数回間違えると、試行可能回数が1回/15分になりますよね。仮に10回で遅延が発生するなら不眠不休でアタックされても51日は安全です。(突破確率0.5)
            以上のように、パスワードの強度を云々するときには、突破確率だとか試行回数だとか期間を無視して解空間のサイズ(パスワード総数)だけ話してても意味はありません。

            # 映画の主役級のものすごく幸運なやつは1回目で破るかもしれないし、R田中一郎は最後の最後まで開かないかもしれない。
            # アメリカさんの資料だと、その確率は1/1000っておいてたような……

            親コメント
            • by Anonymous Coward
              元ACが書きたかったのはパスワードを変更することによる強度向上の程度であって、それに対する答えにはなってない気がするのだが。

              それに対する解答を、「約578年」とか、「約17年」とか、具体的な数字で示さないと。結局のところ、短いパスワードを頻繁に変えるよりも、1文字追加する方が簡単に強度を上げられる。
              • 元ACが書きたかったのはパスワードを変更することによる強度向上の程度であって、それに対する答えにはなってない気がするのだが。

                それに対する解答を、「約578年」とか、「約17年」とか、具体的な数字で示さないと。結局のところ、短いパスワードを頻繁に変えるよりも、1文字追加する方が簡単に強度を上げられる。

                しっかりはっきりくっきり上で具体的な数字をあげて説明したのだけれども、どこか間違っていたかな?
                もしかして、
                1/2の確率で赤、1/2の確率で黒が出るルーレットで、
                黒赤赤赤赤赤赤赤赤赤 (赤が9回連続)
                と出た場合、『次に赤がでる確率は?』と聞かれたら困る人のレベルから説明した方が良いのでせうか:-P

                親コメント
              • by Anonymous Coward
                程度というよりはパスワードを変更することによる強度向上の限界の話だと思う. その限界値は文字数にのみ依存する訳でそれを上昇させる為には文字追加するしかないと言う話じゃないかと.
              • by Anonymous Coward

                9999だからと言って、単細胞ロボットみたいに単純に1から順番に試すとは限らないんだよな。

                1111,2222,3333....と試すかも知れないし、

                ある程度単純なパターン(1234、2345,... 、9876、141421356,223620679)を
                辞書に登録してあるかもしれないし。

              • 困ります。

                10回も続くわけ無いから次は黒だろうjk。

                と思ったが、ここまで赤が続けば次も赤な気もしないでもない。

                どーしたらいいんだ!

                えーい!

                黒だ!

                んんんんーーーーいやー赤だ!

                うはー!

                どっちだー!

                親コメント
              • by Anonymous Coward
                >9999だからと言って、単細胞ロボットみたいに単純に1から順番に試すとは限らないんだよな。

                ちがいますよ。
                あ・ん・ど・ろ・い・ど。
              • 9998までは試したのだが…

                --
                マラソンで二位を抜いたら何位?
                親コメント
              • by Anonymous Coward
                一晩寝て、もうお気づきのこととは思いますが、「突破確率」の前提が曖昧なのですよ。一方は「m回試行による突破の確率」で語り、他方は「m-1回外し続けた時のm回目における突破の確率」で語っている。

                パスワードのパターンの総数がnとし、試行回数をm (m < n)、同じパターンを2度試行しない条件で、m-1回外れ続けた時の、m回目において外れる確率は、
                パスワードの変更が全くない場合、
                (n-m)/(n-m+1)
                毎回パスワードが変わる場合、
                1-1/n

                同条件で、m回外れ続ける確率は
                パスワードの変更が全くない場合、
                (n-m)/n
                毎回パスワードが変わる場合、
                (1-1/n)^m

                したがって、複数回の試行
            • by Anonymous Coward
              前半はいいと思うんだけど、
              途中から、"幸運の持ち主"とか
              "ものすごく幸運なやつ"とか、
              フィクションの世界の言葉が出てくるので、
              何が言いたかったのかわからない。
            • by Anonymous Coward

              > さいころは出目を覚えないので確率的にも間違っています

              っていうのが分からんのです。
              1回でも破られたら終わりと考えていいと思うので、

              1 - (10日間連続セーフの確率) = 1- 0.910 = 0.65 になると思うんだけど。

              元コメが「毎日パスワードを変えても10日以内に約65%の確率で破られる」なら合ってる?

          • by yoshimo (15798) on 2010年01月27日 13時24分 (#1709303)
            >結局のところ唯一と言って良い効果的な対策は「パスワードを一定回数間違えたらアカウントをロックする」でしょう。

            こういうアカウントをロックするシステムはたまに見かけますが、最悪のセキュリティホールではないでしょうか。
            ユーザ名さえわかれば、その人に対する妨害が自由にできてしまいます。

            パスワードを間違った場合、次のパスワードを受け付けるまでの時間を数秒空けるだけで、総当たりのアタックに対する対策は現実的には十分では。
            親コメント
            • ちゃんと追っかけてないので確実とまでは言えませんが、どんな状況にも効果のある対策は無いと思います。

              有る状況下で有効な手段も、他の状況下では有効ではなかったりするのは、パスワード関連に限った話ではないでしょう。

              パスワードを間違った場合、次のパスワードを受け付けるまでの時間を数秒空けるだけで、総当たりのアタックに対する対策は現実的には十分では。

              本人以外がログインできる状況がすでに異常事態というシステム運用をするなら、ロックは十分ありうる選択肢だと思います。
              # 妨害されることよりも、異常検知が重要であったり、ログインされないことの方が重要な場合

              他にも、パスワード総数が小さい場合は、数秒ディレイでは現実的な時間内に突破されてしまったりします。
              例えば、yoshimoさん提案の上記の方法は、銀行のパスワード受付に適応するには現実的では無いですよね?
              # 数字のみ4桁かつ9秒ディレイだと12時間ぐらいで突破されてしまう
              # そのため試行可能回数だけ言っても意味はなく、最低限「守りたい期間」「パスワード総数」も前提に置かないと議論にならないです。

              しかし、みられたら困るし絶対に守りたい!というシステムであっととしても
              (iPhoneなどで設定できる)「10回間違えたら中身全消去」なんてのは、Gmailでは許容されないでしょう。

              あとは、Webサービスなんかだと、多数の端末から一斉にアタックされたらどうするの?とか。
              (誰かがログインディレイ中は他の端末からのログインは拒否するようにすると、簡単にいやがらせが可能になる)
              ***
              秒間100万回アタックされても一生確率的に安心できるパスワードにしたとしても、今回みたいに平文で保存されて覗かれちゃったら意味はないですしね。
              パスワードの話は、何を守りたいのかどう守りたいのかという話のごくごく一部でしかないので、具体論に落とし込まないと発散しそうな気が。
              さらに言えば、個別のアカウントに対する攻撃と、そのシステム全体に対する攻撃で対処方法が異なったりもしますし。
              # 例えば「ロックされるから銀行の暗証番号は誰も知らない彼女の誕生日でOK」なんてのがなぜ駄目なのかとか。
              # みんながみんな日付を暗証番号にしてたら、確率的には61口座集めればどれか一つは突破できてしまいますしね:-P

              親コメント
            • by Anonymous Coward
              そもそもキャッシュカードとか落とす方が悪いんだし、
              目くじら立てることもないんじゃないかな
          • by Deasuke (34806) on 2010年03月17日 2時05分 (#1734072) 日記
            > ちなみにパスワードが1兆種類でも約63%。数学的な話は苦手だけど、この辺が収束ラインなのかな?

            なぜか、試行回数がパスワードの「通り数」と同じになっていますが、そういう計算なら
            1 - (1-1/n)^n ですから n→∞ では当然 1 - 1/e ≒ 0.632120559 に収束しますね。

            『試行回数がパスワードの「通り数」と同じ』というのは非現実的ですし、1回1回のアタックと同じまたはそれよりも素早くパスワードを変更する訳ではないから
            そういう計算も成立しないです。
            --
            Best regards, でぃーすけ
            親コメント
      • by greentea (17971) on 2010年01月27日 0時26分 (#1709020) 日記

        何らかの一度きりの不注意によって、実はパスワードが漏れてたんだけど、
        パスワードが漏れていることを隠したい攻撃者がひっそりと何もアクションをせずに潜んでいる場合は、
        定期的なパスワード変更は有効でしょう。

        けど、そうでない場合。(ソフトウェア的、人的など、何らかの変更後もまだ使える)セキュリティホールの放置による漏れの場合には、何ら効果はないでしょう。
        また、頻繁にパスワード変更を強制される場合は、覚えやすいパスワードにしてしまいがちなので、逆効果かもしれません。

        --
        1を聞いて0を知れ!
        親コメント
        • by Anonymous Coward

          履歴を覚えていて繰り返し同じパスワードを設定できないシステムをみかけますけど、これってどうなのでしょうか?
          パスワード履歴が判るということは、サーバ側がクラックされるとクライアントの使用確率の高いパスワード表がごっそり入手できるということだし、管理者権限があれば簡単に判読できてしまうということで逆に危険性が高くなる気がするのですが。
          この3200万のアカウント情報漏洩ってそういうことでは?

          • by Anonymous Coward
            つハッシュ
            • by Anonymous Coward

              一眠りしたら、認証のときと同じことを履歴分繰り返せばいいだけだと気がつきました.
              なんでpassword自体を保存しないといけないと思い込んでしまったんだろ?

              それにしても3200万のアカウント情報が漏洩したのはどういう経由なんでしょう?
              ハッシュ値での流出ならTop10くらいなら辞書引きでハッシュが一致したアカウントを
              集計すれば推定分析にはなるのかな?とも思いましたが、クリアテキストで格納された
              テキストを抽出したように読めたのですが、そうすると生パスワードをそれもSQLサーバ
              から見えるところに置いてあったということになりそうですが、そんな運用あり?

      • by Anonymous Coward
        >定期的なパスワード変更って何で必要なんですかね。

        私もそれを疑問に感じています。
        特に銀行とかの、お金が絡む系。

        パスワードの変更って、仮にパスワードが破られた際、他人にアクセスされる可能性は次にパスワードを変更するまでの間に限られるという点では意味があるかと思います。
        でも、犯罪者はそんな事は承知の上だから、パスワードを破ることができたら速やかにごっそりと頂けるものを頂きますよね。パスワードが変更される前に。

        そういった系統のアカウントで、パスワードを定期的に変更することでどれだけ安全性がプラスになるのか疑問を感じます。
        むしろ、何年もの間破られなかったパスワードは、模範的で安全なパスワードと言えるんじゃないでしょうかね。
        • by Anonymous Coward

          定期的に変更を強いると
          似通った法則で変更する傾向が生まれて
          それを推測され破りやすくもなったりする
          人間の行動原理はたかが知れてるわけだ

          • by Anonymous Coward
            エントロピー源がダメだと、何度乱数を発生させても意味がないという典型的な例ですね。
        • by Anonymous Coward
          っていうかパスワードが破られた場合、
          攻撃者がパスワードを変更するんじゃないかな。
          • by Anonymous Coward

            わざわざ犯行がばれるようなことしませんよ。
            パスワードかえちゃってログインできなくなったら不審に思われるでしょうが。

        • by Anonymous Coward
          金銭目的ならそうかもしれないけれど、長期に渡って情報を盗みだし続けたいなどといった用途であれば、すぐ検知されるような行動は控えたり、ここぞというタイミングまで寝かせとくことも有り得るんじゃないでしょうか。
      • by Anonymous Coward

        9999999998まではいったのだが…

    • by Anonymous Coward
      > 4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止

      そこまでうるさく制限しておいて、
      「英字大文字、英小文字、数字、記号から3種類以上用いなければならない」とか、
      「同じ文字を3文字以上連続してはならない」とか、
      制約をつけなかったのは意外だ。

      そーゆー制約下のパスワードを月に4種類更新してると休み明けとか大混乱
      • by greentea (17971) on 2010年01月27日 0時36分 (#1709028) 日記

        >> 4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止

        >「英字大文字、英小文字、数字、記号から3種類以上用いなければならない」とか、
        >「同じ文字を3文字以上連続してはならない」とか、

        よし、それなら1週目「1qaz!QAZ」 2週目「2wsx"WSX」...だな。
        それとも、月に1回強のペースなので、月名+定型句+1or2というのもありだなぁ。

        # 目的と手段を取り違えている、の例。

        --
        1を聞いて0を知れ!
        親コメント
    • by Anonymous Coward
      • 過去3回のパスワード履歴を保存して「以前のパスワードと一致しているのは却下」
      • パスワードを3回間違えるとロックアウト
      • パスワードを変更してから3ヶ月過ぎると「変更しろ」

      という「各人が毎年年度始めに1回/年だけ使う社内システム」があったんですが、 仕様策定時の真意を誰か教えて貰えませんか…

      • by Anonymous Coward
        > 仕様策定時の真意を誰か教えて貰えませんか…

        それはたぶん、
        「各人が毎年年度始めに1回/年だけ使う」
        が仕様の想定した状況では無いのだと思いマッスル。

        ユーザ個々にアカウントを用意するのではなく、
        ・特定の端末以外から利用出来ないようにする
        ・利用者は管理者を呼んでログインして貰ってから利用する
        と言うカタチにすれば解決です。
    • by Anonymous Coward
      会社から借りてるPCに入ってるセキュリティソフト。
      すでに8回?変えてるけど、いまだに「過去に使ったPWだ」と言われる。何回分保存するんだろう…。
      数ヶ月に一回変更強制、英数記号(ryという条件もつくので、仕方ないこととは言え毎回考えるのが苦しい。
      しかもそのPC、障害対応用でここ1年以上各種アップデート程度にしか使ってないという。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...