パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GmailからHotmailへの移行を試したIT編集者、2週間で断念」記事へのコメント

  • by fl (43569) on 2012年04月28日 17時00分 (#2144486) 日記

    一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。
    それなら辞書攻撃で現実的に破られるラインだ。
    かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。

    Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。

    • by nmaeda (5111) on 2012年04月28日 17時11分 (#2144491)

      日本語のサイトで確認すると、制限は6文字以上くらいしかないようだけど、ちゃんと

      安全性の高いパスワードとは、7 ~ 16 文字で、一般的な名前や言葉を含まず、大文字、小文字、数字、および記号を組み合わせたものです。

      などと注意書きがあるね。それに専門誌の編集者でもあるんだから、予備知識もあるわけだし、パスワードについては非難されても致し方ない。

      パスワードがクラックされたか否かは判らないけど。

      親コメント
    • 訂正: ×一般名詞 ○固有名詞

      親コメント
    • by Anonymous Coward on 2012年04月28日 17時19分 (#2144494)

      固有名詞とかどこに書いてある?

      それと、同じパスワードがGmailで破られずにHotmailで破られるんだったら、Hotmailは容易に辞書攻撃ができるってことになるね。

      スラドのアカウントですらそんなに簡単にはハックされてない気がするんだけど、Hotmailってそんなに危険なの?

      親コメント
    • by Anonymous Coward on 2012年04月28日 18時03分 (#2144507)

      てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?

      連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。

      それじゃあ危険だなあ。

      ちなみに、

      >それなら辞書攻撃で現実的に破られるラインだ。

      この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?

      参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?
      それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。

      親コメント
      • by fl (43569) on 2012年04月28日 20時08分 (#2144552) 日記

        Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。
        攻撃者は仕様の穴を突いてくる。

        パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。
        十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。
        試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。
        制限に抜け穴があれば容易に突破されるということを意味するからだ。

        そして完全なシステムは存在しない。

        その昔、原始的な Web システムは無制限にログインの試行を許していた。
        そのうち総当たりでアカウントを奪取しようとする攻撃者が現れた。

        対策として試行回数の累積でアカウントのロックアップを行うようになり、
        今度はサービス拒否攻撃が発見された。

        接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたが
        botnet の存在がそれを覆した。

        それでも強固なパスワードがアカウント奪取を防ぐ効果は変わっていない。
        回避策がみつかるたびに心配を増やすくらいなら、最初から本質的な対策をとればいい。

        親コメント
        • Re: (スコア:0, すばらしい洞察)

          by Anonymous Coward

          なんだかまたMS信者がだんだんオカルトにハマって行くなあ。セキュリティに関してMSは悪くない、と言い張るために話をそらしたり、ユーザーに謂れの無いケチばかりつけたり、大変だね。

          要するに、今回の話はHotmailのシステムには(パスワードの強弱とは関係無い)脆弱製が存在する、というだけの話だと思うんだけど。
          いくらパスワードが強固でも、今回の問題とは全然関係ないと思うよ。

          ところで、あなたが考える「本質的な対策」ってのも興味があるので教えて。
          メールサーバへのパスワードが(今現在のネットワーク環境で)十分に強固、ってのがどれくらいなのか。
          サーバの応答速度、試行回数、主要なサービスの(普通は当然対策が取られていると思われる)辞書攻撃に対して無防備なサービスの割合(そしてHotmailは本当に完全無防備なのか)、実際にクラックされた事例なども考慮した「事実に基づく」意見をお願いしますね。

          • by fl (43569) on 2012年04月29日 13時07分 (#2144709) 日記

            自覚がないようだから、よく読んでほしい。

            セキュリティに関しては「これがあるから大丈夫」ではなくて
            「これが破られたらどんな影響が出るか」という考え方をするべきだ。

            Hotmail にパスワードにまつわる脆弱性があると仮定しよう。
            だからといって弱いパスワードを使ってかまわない理由にはならない。

            その未知の脆弱性は強制的にパスワードをリセットするものかもしれない。
            試行回数制限を回避するものかもしれない。
            前者についてはエンドユーザにできることは何もないが、後者は強いパスワードを
            使うことで防止できる。

            同様に、パスワードの安全性に関しても
            現在の Hotmail にフォーカスして見積もろうとするのが間違いだ。
            Hotmail のサービス担当者がやることであって、エンドユーザが見様見真似で行なっても益がない。

            本質的な対策の一つは、良いパスワードを使うこと。
            良いパスワードの作り方はいくつか言われている。

            JPCERT/CC [jpcert.or.jp]

            • 電話番号や誕生日など、個人情報を基にした文字列は使用しない。
            • 日本語、英語に限らず、辞書に載っている単語を使用しない。
            • ユーザアカウントと同じ文字列を含めない。
            • アルファベットの大文字、小文字、数字、特殊記号を混ぜる。
            • なるべく長いパスワードを設定する。
            • 同じパスワードを使い回さない。

            US-CERT [us-cert.gov]

            • Don't use passwords that are based on personal information that can be easily accessed or guessed.
            • Don't use words that can be found in any dictionary of any language.
            • Develop a mnemonic for remembering complex passwords.
            • Use both lowercase and capital letters.
            • Use a combination of letters, numbers, and special characters.
            • Use passphrases when you can.
            • Use different passwords on different systems.

            マイクロソフト [microsoft.com]

            長さ:
            可能な限り 8 文字以上で設定してください。
            複雑さ:
            文字、句読点、記号および数字を含めてください。キーボードで最もよく使用するまたはよく見かける文字キーや記号キーだけでなく、キーボード全体を使用してください。使用する文字の種類が多いほどパスワードの安全性は高くなります。 ただし、パスワード ハッキング ソフトウェアは、「and」から「&」または「to」から「2」など、一般的な文字から記号への変更を自動的にチェックします。
            変更:
            強力なパスワードの効果を保つために、頻繁に変更してください。 自動通知機能を設定し、3 か月ごとにメール、銀行、クレジッド カードの Web サイトのパスワードを変更してください。
            多様性:
            すべてのアカウントで同じパスワードを使用しないでください。 サイバー犯罪者は非常にセキュリティの弱い Web サイトでパスワードを盗み、同じパスワードとユーザー名を、セキュリティが厳しい環境 (銀行の Web サイトなど) で使用しようとします。

            パスワードには、以下の単語を使用しないでください。

            • いずれの言語でも、辞典に載っている単語。
            • 逆スペリングの単語、よくあるミススペル、省略語。
            • 連続した文字または繰り返した文字。 例: 12345678、222222、abcdefg、キーボード上隣にある文字 (qwerty)。
            • 個人情報。 自分の名前、誕生日、運転免許証番号、パスポート番号、またはそれに類似した情報。
            親コメント
        • by Anonymous Coward

          > 接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたが
          > botnet の存在がそれを覆した。

          Googleは、普段使っているのと違うドメインに属するアドレスからログインしようとすると、いつものパスワードとは別に「予備として登録されているGoogle以外の連絡用メールアドレス」を入力するようになっているから、あなたのおっしゃる「ボットを使って力ずくで解く」というのは、通用しないよ。ネットバンキングなんかでも常識の手法だよね。

          そもそも、「全く異なるドメインから同じアカウントへのログイン要求が連続的にきて、しかも、パスワードが間違っている」なんて露骨に異常な状況を検出しないって、どういうことよ?

        • by Anonymous Coward

          論点のすり替え大変ですね。

      • by Anonymous Coward

        >この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?

        fl さんの文面からどうすればそう解釈できるのか疑問。

    • by Anonymous Coward

      >なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。

      Hotmailが今日してるのも確かにアレだけど、こんな編集者のPC雑誌、大丈夫なのか?

      • by Anonymous Coward on 2012年04月28日 18時40分 (#2144519)

        パスワードが"collins"の七文字だった、に一票。

        親コメント
        • by Anonymous Coward on 2012年04月28日 20時25分 (#2144557)

          略語+固有名詞の小文字七文字なので、元blogでは"pcbarry"が有力視されています。ネタ的に。

          # この人は、Barry Coliinsさん

          親コメント
      • by Anonymous Coward on 2012年04月28日 17時21分 (#2144497)

        本誌記者もたまらず昇天!?っていうヤツじゃないっすかね。

        PC誌の編集者のパスワードはもっと響子にしろとか、そのあたりのことを自分の体で確かめたとかそういうノリで。

        親コメント
        • by Anonymous Coward

          響子さんすきじゃーーーーーーーーーーーーー!!!!

        • by Anonymous Coward

          響子を体で確かめたとか、一体何の話・・・

        • by Anonymous Coward

          つまり、朱美だったのね。

    • by Anonymous Coward

      そもそもパスワードって認証として弱いだろう。
      パスワードが強度なんて幻想だよ。

    • by Anonymous Coward

      パスつきZIPのクラックでもするんか

      Hotmailは一定回数失敗するとアカウントがロックされるので総当たり攻撃で破るのはムリゲー

      • by Anonymous Coward

        > Hotmailは一定回数失敗するとアカウントがロックされる

        アカウントを知っててパスワードを知らない場合、意図的にアカウントをロックさせるという嫌がらせが行えるのでしょうか?

        銀行ATMでキャッシュカードが必要とかならわかるんだけど。

        • by masahikoi (1183) on 2012年04月28日 19時53分 (#2144546)

          アカウント自体が凍結されるわけではなく、サインイン時にCAPCHA認証を求められるようになります。
          ですから正しいパスワードを知っている人ならばサインインできます。
          (まあCAPCHAの入力を求められるの自体がいやがらせではありますが)
          また、Webページからのサインインがそうなっていても、Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。

          親コメント
          • by Anonymous Coward

            それじゃ、効果が疑問視されているCAPCHAの強度が、総当り攻撃を防ぐ防衛線になってるのか?

            CAPCHAなんて、おまじない程度に考えておいた方が良いだろうに・・・数学的に強度を証明できるような物では無いので、何かのはずみで無意味と化す可能性がある。

            • by Anonymous Coward

              CAPHCHA20回失敗とかでとりあえずドアを閉めれば、何かのはずみってのは回避できるのでは?

              (最近、普通にCAPCHAが読めないのが苦痛。)

          • by Anonymous Coward

            >Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。

            それだと、Live Messengerの互換クライアントからだと総当たりし放題ってことにならないだろうか。
            オープンソースな実装も1つ2つじゃあるまいに。

            #実際のところは知らないから補足plz

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...