アカウント名:
パスワード:
一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。それなら辞書攻撃で現実的に破られるラインだ。かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。
Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。
日本語のサイトで確認すると、制限は6文字以上くらいしかないようだけど、ちゃんと
安全性の高いパスワードとは、7 ~ 16 文字で、一般的な名前や言葉を含まず、大文字、小文字、数字、および記号を組み合わせたものです。
などと注意書きがあるね。それに専門誌の編集者でもあるんだから、予備知識もあるわけだし、パスワードについては非難されても致し方ない。
パスワードがクラックされたか否かは判らないけど。
訂正: ×一般名詞 ○固有名詞
固有名詞とかどこに書いてある?
それと、同じパスワードがGmailで破られずにHotmailで破られるんだったら、Hotmailは容易に辞書攻撃ができるってことになるね。
スラドのアカウントですらそんなに簡単にはハックされてない気がするんだけど、Hotmailってそんなに危険なの?
/.J のアカウントにはハックするほどの価値が無いと思う。
てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?
連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。
それじゃあ危険だなあ。
ちなみに、
>それなら辞書攻撃で現実的に破られるラインだ。
この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。
Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。攻撃者は仕様の穴を突いてくる。
パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。制限に抜け穴があれば容易に突破されるということを意味するからだ。
そして完全なシステムは存在しない。
その昔、原始的な Web システムは無制限にログインの試行を許していた。そのうち総当たりでアカウントを奪取しようとする攻撃者が現れた。
対策として試行回数の累積でアカウントのロックアップを行うようになり、今度はサービス拒否攻撃が発見された。
接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたがbotnet の存在がそれを覆した。
それでも強固なパスワードがアカウント奪取を防ぐ効果は変わっていない。回避策がみつかるたびに心配を増やすくらいなら、最初から本質的な対策をとればいい。
なんだかまたMS信者がだんだんオカルトにハマって行くなあ。セキュリティに関してMSは悪くない、と言い張るために話をそらしたり、ユーザーに謂れの無いケチばかりつけたり、大変だね。
要するに、今回の話はHotmailのシステムには(パスワードの強弱とは関係無い)脆弱製が存在する、というだけの話だと思うんだけど。いくらパスワードが強固でも、今回の問題とは全然関係ないと思うよ。
ところで、あなたが考える「本質的な対策」ってのも興味があるので教えて。メールサーバへのパスワードが(今現在のネットワーク環境で)十分に強固、ってのがどれくらいなのか。サーバの応答速度、試行回数、主要なサービスの(普通は当然対策が取られていると思われる)辞書攻撃に対して無防備なサービスの割合(そしてHotmailは本当に完全無防備なのか)、実際にクラックされた事例なども考慮した「事実に基づく」意見をお願いしますね。
自覚がないようだから、よく読んでほしい。
セキュリティに関しては「これがあるから大丈夫」ではなくて「これが破られたらどんな影響が出るか」という考え方をするべきだ。
Hotmail にパスワードにまつわる脆弱性があると仮定しよう。だからといって弱いパスワードを使ってかまわない理由にはならない。
その未知の脆弱性は強制的にパスワードをリセットするものかもしれない。試行回数制限を回避するものかもしれない。前者についてはエンドユーザにできることは何もないが、後者は強いパスワードを使うことで防止できる。
同様に、パスワードの安全性に関しても現在の Hotmail にフォーカスして見積もろうとするのが間違いだ。Hotmail のサービス担当者がやることであって、エンドユーザが見様見真似で行なっても益がない。
本質的な対策の一つは、良いパスワードを使うこと。良いパスワードの作り方はいくつか言われている。
JPCERT/CC [jpcert.or.jp]
US-CERT [us-cert.gov]
マイクロソフト [microsoft.com]
パスワードには、以下の単語を使用しないでください。
> 接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたが> botnet の存在がそれを覆した。
Googleは、普段使っているのと違うドメインに属するアドレスからログインしようとすると、いつものパスワードとは別に「予備として登録されているGoogle以外の連絡用メールアドレス」を入力するようになっているから、あなたのおっしゃる「ボットを使って力ずくで解く」というのは、通用しないよ。ネットバンキングなんかでも常識の手法だよね。
そもそも、「全く異なるドメインから同じアカウントへのログイン要求が連続的にきて、しかも、パスワードが間違っている」なんて露骨に異常な状況を検出しないって、どういうことよ?
論点のすり替え大変ですね。
> 一つのアカウントに対して攻撃をする場合に、複数のIPアドレスから攻撃すればロックされないってか。
うん、とんでもない妄想。むしろ、そんな状況が発生したら、ひとまずアカウントをロックするほうが自然。どうして「複数のIPアドレスから攻撃すればロックを免れることができる」なんて、馬鹿なことを思いつくのやら。まさか、そういう設計をしているSIerさんだったりしたら、嫌だなぁ
>この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
fl さんの文面からどうすればそう解釈できるのか疑問。
>なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。
Hotmailが今日してるのも確かにアレだけど、こんな編集者のPC雑誌、大丈夫なのか?
パスワードが"collins"の七文字だった、に一票。
略語+固有名詞の小文字七文字なので、元blogでは"pcbarry"が有力視されています。ネタ的に。
# この人は、Barry Coliinsさん
本誌記者もたまらず昇天!?っていうヤツじゃないっすかね。
PC誌の編集者のパスワードはもっと響子にしろとか、そのあたりのことを自分の体で確かめたとかそういうノリで。
響子さんすきじゃーーーーーーーーーーーーー!!!!
響子を体で確かめたとか、一体何の話・・・
つまり、朱美だったのね。
そもそもパスワードって認証として弱いだろう。パスワードが強度なんて幻想だよ。
パスつきZIPのクラックでもするんか
Hotmailは一定回数失敗するとアカウントがロックされるので総当たり攻撃で破るのはムリゲー
> Hotmailは一定回数失敗するとアカウントがロックされる
アカウントを知っててパスワードを知らない場合、意図的にアカウントをロックさせるという嫌がらせが行えるのでしょうか?
銀行ATMでキャッシュカードが必要とかならわかるんだけど。
アカウント自体が凍結されるわけではなく、サインイン時にCAPCHA認証を求められるようになります。ですから正しいパスワードを知っている人ならばサインインできます。(まあCAPCHAの入力を求められるの自体がいやがらせではありますが)また、Webページからのサインインがそうなっていても、Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。
それじゃ、効果が疑問視されているCAPCHAの強度が、総当り攻撃を防ぐ防衛線になってるのか?
CAPCHAなんて、おまじない程度に考えておいた方が良いだろうに・・・数学的に強度を証明できるような物では無いので、何かのはずみで無意味と化す可能性がある。
CAPHCHA20回失敗とかでとりあえずドアを閉めれば、何かのはずみってのは回避できるのでは?
(最近、普通にCAPCHAが読めないのが苦痛。)
>Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。
それだと、Live Messengerの互換クライアントからだと総当たりし放題ってことにならないだろうか。オープンソースな実装も1つ2つじゃあるまいに。
#実際のところは知らないから補足plz
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
弱いパスワード (スコア:2)
一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。
それなら辞書攻撃で現実的に破られるラインだ。
かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。
Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。
Re:弱いパスワード (スコア:3)
日本語のサイトで確認すると、制限は6文字以上くらいしかないようだけど、ちゃんと
安全性の高いパスワードとは、7 ~ 16 文字で、一般的な名前や言葉を含まず、大文字、小文字、数字、および記号を組み合わせたものです。
などと注意書きがあるね。それに専門誌の編集者でもあるんだから、予備知識もあるわけだし、パスワードについては非難されても致し方ない。
パスワードがクラックされたか否かは判らないけど。
訂正: ×一般名詞 ○固有名詞 (スコア:1)
訂正: ×一般名詞 ○固有名詞
Re:弱いパスワード (スコア:1)
固有名詞とかどこに書いてある?
それと、同じパスワードがGmailで破られずにHotmailで破られるんだったら、Hotmailは容易に辞書攻撃ができるってことになるね。
スラドのアカウントですらそんなに簡単にはハックされてない気がするんだけど、Hotmailってそんなに危険なの?
Re:弱いパスワード (スコア:1)
/.J のアカウントにはハックするほどの価値が無いと思う。
Re: (スコア:0)
Re:弱いパスワード (スコア:1, 参考になる)
てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?
連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。
それじゃあ危険だなあ。
ちなみに、
>それなら辞書攻撃で現実的に破られるラインだ。
この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?
それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。
Re:弱いパスワード (スコア:2)
Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。
攻撃者は仕様の穴を突いてくる。
パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。
十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。
試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。
制限に抜け穴があれば容易に突破されるということを意味するからだ。
そして完全なシステムは存在しない。
その昔、原始的な Web システムは無制限にログインの試行を許していた。
そのうち総当たりでアカウントを奪取しようとする攻撃者が現れた。
対策として試行回数の累積でアカウントのロックアップを行うようになり、
今度はサービス拒否攻撃が発見された。
接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたが
botnet の存在がそれを覆した。
それでも強固なパスワードがアカウント奪取を防ぐ効果は変わっていない。
回避策がみつかるたびに心配を増やすくらいなら、最初から本質的な対策をとればいい。
Re: (スコア:0, すばらしい洞察)
なんだかまたMS信者がだんだんオカルトにハマって行くなあ。セキュリティに関してMSは悪くない、と言い張るために話をそらしたり、ユーザーに謂れの無いケチばかりつけたり、大変だね。
要するに、今回の話はHotmailのシステムには(パスワードの強弱とは関係無い)脆弱製が存在する、というだけの話だと思うんだけど。
いくらパスワードが強固でも、今回の問題とは全然関係ないと思うよ。
ところで、あなたが考える「本質的な対策」ってのも興味があるので教えて。
メールサーバへのパスワードが(今現在のネットワーク環境で)十分に強固、ってのがどれくらいなのか。
サーバの応答速度、試行回数、主要なサービスの(普通は当然対策が取られていると思われる)辞書攻撃に対して無防備なサービスの割合(そしてHotmailは本当に完全無防備なのか)、実際にクラックされた事例なども考慮した「事実に基づく」意見をお願いしますね。
Re:弱いパスワード (スコア:3, 参考になる)
自覚がないようだから、よく読んでほしい。
セキュリティに関しては「これがあるから大丈夫」ではなくて
「これが破られたらどんな影響が出るか」という考え方をするべきだ。
Hotmail にパスワードにまつわる脆弱性があると仮定しよう。
だからといって弱いパスワードを使ってかまわない理由にはならない。
その未知の脆弱性は強制的にパスワードをリセットするものかもしれない。
試行回数制限を回避するものかもしれない。
前者についてはエンドユーザにできることは何もないが、後者は強いパスワードを
使うことで防止できる。
同様に、パスワードの安全性に関しても
現在の Hotmail にフォーカスして見積もろうとするのが間違いだ。
Hotmail のサービス担当者がやることであって、エンドユーザが見様見真似で行なっても益がない。
本質的な対策の一つは、良いパスワードを使うこと。
良いパスワードの作り方はいくつか言われている。
JPCERT/CC [jpcert.or.jp]
US-CERT [us-cert.gov]
マイクロソフト [microsoft.com]
パスワードには、以下の単語を使用しないでください。
Re: (スコア:0)
> 接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたが
> botnet の存在がそれを覆した。
Googleは、普段使っているのと違うドメインに属するアドレスからログインしようとすると、いつものパスワードとは別に「予備として登録されているGoogle以外の連絡用メールアドレス」を入力するようになっているから、あなたのおっしゃる「ボットを使って力ずくで解く」というのは、通用しないよ。ネットバンキングなんかでも常識の手法だよね。
そもそも、「全く異なるドメインから同じアカウントへのログイン要求が連続的にきて、しかも、パスワードが間違っている」なんて露骨に異常な状況を検出しないって、どういうことよ?
Re: (スコア:0)
論点のすり替え大変ですね。
Re: (スコア:0)
> 一つのアカウントに対して攻撃をする場合に、複数のIPアドレスから攻撃すればロックされないってか。
うん、とんでもない妄想。むしろ、そんな状況が発生したら、ひとまずアカウントをロックするほうが自然。どうして「複数のIPアドレスから攻撃すればロックを免れることができる」なんて、馬鹿なことを思いつくのやら。まさか、そういう設計をしているSIerさんだったりしたら、嫌だなぁ
Re: (スコア:0)
>この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
fl さんの文面からどうすればそう解釈できるのか疑問。
Re: (スコア:0)
>なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。
Hotmailが今日してるのも確かにアレだけど、こんな編集者のPC雑誌、大丈夫なのか?
Re:弱いパスワード (スコア:2, 興味深い)
パスワードが"collins"の七文字だった、に一票。
Re:弱いパスワード (スコア:1)
略語+固有名詞の小文字七文字なので、元blogでは"pcbarry"が有力視されています。ネタ的に。
# この人は、Barry Coliinsさん
Re:弱いパスワード (スコア:1)
本誌記者もたまらず昇天!?っていうヤツじゃないっすかね。
PC誌の編集者のパスワードはもっと響子にしろとか、そのあたりのことを自分の体で確かめたとかそういうノリで。
Re: (スコア:0)
響子さんすきじゃーーーーーーーーーーーーー!!!!
Re: (スコア:0)
響子を体で確かめたとか、一体何の話・・・
Re: (スコア:0)
つまり、朱美だったのね。
Re: (スコア:0)
そもそもパスワードって認証として弱いだろう。
パスワードが強度なんて幻想だよ。
Re: (スコア:0)
パスつきZIPのクラックでもするんか
Hotmailは一定回数失敗するとアカウントがロックされるので総当たり攻撃で破るのはムリゲー
Re: (スコア:0)
> Hotmailは一定回数失敗するとアカウントがロックされる
アカウントを知っててパスワードを知らない場合、意図的にアカウントをロックさせるという嫌がらせが行えるのでしょうか?
銀行ATMでキャッシュカードが必要とかならわかるんだけど。
Re:弱いパスワード (スコア:1)
アカウント自体が凍結されるわけではなく、サインイン時にCAPCHA認証を求められるようになります。
ですから正しいパスワードを知っている人ならばサインインできます。
(まあCAPCHAの入力を求められるの自体がいやがらせではありますが)
また、Webページからのサインインがそうなっていても、Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。
Re: (スコア:0)
それじゃ、効果が疑問視されているCAPCHAの強度が、総当り攻撃を防ぐ防衛線になってるのか?
CAPCHAなんて、おまじない程度に考えておいた方が良いだろうに・・・数学的に強度を証明できるような物では無いので、何かのはずみで無意味と化す可能性がある。
Re: (スコア:0)
CAPHCHA20回失敗とかでとりあえずドアを閉めれば、何かのはずみってのは回避できるのでは?
(最近、普通にCAPCHAが読めないのが苦痛。)
Re: (スコア:0)
>Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。
それだと、Live Messengerの互換クライアントからだと総当たりし放題ってことにならないだろうか。
オープンソースな実装も1つ2つじゃあるまいに。
#実際のところは知らないから補足plz