身近にある安易なパスワード 126
ストーリー by mhatta
うちはJohn The Ripper使ってるな 部門より
うちはJohn The Ripper使ってるな 部門より
liquor曰く、"ITmediaの英国における安易なパスワード・トップ10という記事を読んで、日本だと何になるかなと気になりました。 日本のシステム管理者もパスワードを含めたユーザーの管理には日々頭を悩ませていると思いますが、こんな安易なの使うなよ!って事例がありましたら啓蒙活動がてら晒して頂けませんでしょうか。"
サーバーパスワードに自分の (スコア:5, 参考になる)
Manpage of PASSWD [linux.or.jp]曰く、
"一般的な指針としては、パスワードは以下の集合それぞれから一つ以上の
文字を使った 6 から 8 文字のものにすべきである。
- 小文字のアルファベット
- 大文字のアルファベット
- 0 から 9 までの数字
- 句読点
"また、
"文学作品などから思い出しやすい句を選び出し、それぞれの単語から最初もしくは最後の文字を抜き出す方法がある。
この方法の例としては、
Ask not for whom the bell tolls.
という句から
An4wtbt.
というパスワードが作り出せる。 "
とのこと。
Re:サーバーパスワードに自分の (スコア:2, 興味深い)
日本語の文章を語呂合わせでアルファヌーメリックに置き換える、という
テクニック(?)が紹介されていました。
そこで例として出てたのが
Y!410de-
(ワイびっくりしてんでー)
だそうです。ちょっとワロタ。
で、こういうノウハウを開示していくと
だんだんクラッカのパスワードクラックエンジンが
賢くなっていくわけですね。
Re:サーバーパスワードに自分の (スコア:2, 参考になる)
Re:サーバーパスワードに自分の (スコア:4, 興味深い)
ので規則性が無いor他人から推測しにくいパスワードでも
10文字以上つけないと一瞬で覚えられる危険性がある
と思います。実際、コマンドプロンプトに間違えて
タイプした8文字のパスワードを後輩に一瞬で覚えられた
苦い経験が自分にはありますので。
経験的にパスワードプロンプトと間違えて
コマンドプロンプトにタイプしたときに見て
覚えられることが多いので最初の数文字は管理作業で
使うようなUnixコマンドと同じにしてあります。
その部分をタイプしていて気づいたら引返せるように。
身の回りのシステムはほぼ全て8文字以上のパスワードを
受け入れるのでパスワード長は常に12文字以上に
しています。だから、頭の数文字くらいはUnixコマンドと
同じにして無駄に使っても良いかと。
Re:サーバーパスワードに自分の (スコア:1)
それからファーストネーム+誕生日になり、今ではやっぱりすきなバンドの歌詞から親コメントのようにして作ってます。
とても好きな歌詞なので絶対に忘れなくて良い感じです。
安易なパスワードよりも (スコア:5, すばらしい洞察)
安易な使い方や、
どうせ盗まれるモノなんかないからといった
安易な考え方
の方が危険な気がする。
Re:安易なパスワードよりも (スコア:5, おもしろおかしい)
ポストイットでパスワードを書込み貼り付けあり
ログインを検知してアラートが飛ぶ仕組みを見た事がある。
果たして有効だったのかどうかは知らないが
しばらく自社で話のネタにはなった。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
調査の方法は? (スコア:5, すばらしい洞察)
私など、他人にパスワードを聞かれても教えるなって教育されているんですが、
普通にアンケートをとったら、みんな教えてくれたんですかね?
匿名にしても、中りをつけやすくなるので、これって、セキュリティホールになり得る気がします。
Re:調査の方法は? (スコア:3, おもしろおかしい)
全員目をつぶりなさい。はい、つぶりましたね
以下の文字列をパスワードにしている人、黙って手を挙げなさい。
admin
root
toor
password
1234
(以下略)
Re:調査の方法は? (スコア:5, おもしろおかしい)
Re:調査の方法は? (スコア:1)
ゲットできたアカウント数とかなんじゃ?w
実際の割合はもっと低い (スコア:1, すばらしい洞察)
結果的に、安直なパスワードの率が高くなってるってことないのかね。
もっとも調査の目的は実態を正確に把握することじゃなくて、
高い数字を出して恐怖を煽ることだろうからこれで良いのかも。
正確な数字が出たところで、それが役立つものだとも思えないし。
脆弱なパスワードをつける人 (スコア:5, 参考になる)
解読されたパスワードを脆弱だった順に書くと、
1. 管理を任されている学生
2. 年配の研究者
3. 40歳代の研究者
4. 年配の研究者
5. 50歳代の研究者
の5人でした。
全アカウント中、40歳以上の方は8人でした。
(1)は、「コンピュータの管理を任されているしっかりした学生だから」という理由で、前管理者(私)が過信し、適当につけた初期パスワードを渡したところ、彼がそのままそれを使い続けていたというものです。
他の学生には、いつも細かく注意していたのですが。
統計量が少ないので、正確なことは言えませんが、まず気が付くのは、「年配の方に注意」でしょう。意外に学生のほうが強固なパスワードを使っているようです。
それと、見方を変えると、「アカウント発行時には、そのときに、全員にパスワードの取り扱いについて注意・説明することが大切」ということも見えてきます。責任ある役職の人だからとか、コンピュータに詳しい人だからとか、情報処理の授業や計算機利用説明会などで習っているだろうとか、そういう理由で安心して、注意・説明を怠ってしまうと、そこが全て落とし穴になってしまった。
悪い管理の見本です。
暗証番号とかなら (スコア:3, おもしろおかしい)
1024とか4096とか。
Re:暗証番号とかなら (スコア:2, 興味深い)
やっぱり、誕生日だけでなく、2の平方根とか、素数とか、円周率とか、プランク定数とかは安易な暗証番号になってしまうんでしょうか?
でも、そもそも暗証番号が大抵4桁しかないのも問題だと思う。
Re:暗証番号とかなら (スコア:1, すばらしい洞察)
「それのどこがキリがいいんだよ」
と突っ込まれるわけですね:)
Re:暗証番号とかなら (スコア:1, おもしろおかしい)
#永遠の0X17歳なので、AC
Re:暗証番号とかなら (スコア:2, おもしろおかしい)
「ああ、16進数でな」
「。。。。。」
自宅での夫婦の会話。。。。。
#実話だけど、ID
Re:暗証番号とかなら (スコア:1, 参考になる)
自分にはすこぶる覚えやすいのですが。
さすがにきりは良くないです
Re:暗証番号とかなら (スコア:1, 興味深い)
どこまで正しいかは分かりませんが予想外に高い値に、キャッシュカードが安易に破られる理由も実感した放送ではありました。
#幾らなんでももっと低い値だと思ったんだけどねぇ。(苦笑)
Re:暗証番号とかなら (スコア:2, 参考になる)
更に、8桁だと、00000000-99999999の1億通りが、19060101-20060703(100歳以上の人は対象外とした場合)を当たればいいので、365.25 * 100 = 36,525通りに弱くなってしまうという。
ブログの日記じゃあるまいし (スコア:3, 参考になる)
1.123
2.password
3.liverpool(イングランドの人気サッカーチーム)
4.letmein(「入れてくれ」――現代版「開けゴマ」)
5.123456
6.qwerty(キーボード左上のキー配列)
7.charlie(英国でよくある人名)
8.monkey(理由不明)
9.arsenal(イングランドの人気サッカーチーム)
10.thomas(もう1つよくある人名)
Re:ブログの日記じゃあるまいし (スコア:1)
ベストテンに入ってるのに理由不明ってのも妙だなあ。英国人がmonkeyをパスワードにしたがる理由って何かないのか。
Re: Thomasという名前 (スコア:1)
ドイツにいたころに半分くらいがこの名前でした。半分はウソとしても知り合う人の3割、どうも日本関係に興味をもっている人に多い傾向がありました。
イギリスでも多いそうですが、チェコ人なんかにも(ちょっとつづりは違うけど)トーマスと名乗られたときにはゲゲッ、みんなトーマスなのかと思いました。
Re: Thomasという名前 (スコア:3, おもしろおかしい)
どっちも1000人に4人じゃ? (スコア:3, すばらしい洞察)
> ほぼ1000人に4人の割合でいるという証しだ。
2位の説明
> ほぼ250人に1人がこれを使っていた。
???
よくわかんないけど、どっちも同じだよね?
4人と1人で印象変えようとしている??
Re:どっちも1000人に4人じゃ? (スコア:2, 参考になる)
原文でも確かに
「1000人に4人」「250人に1人」という表現になってますが、
だそうで、123の方が若干多いようです。
Re:どっちも1000人に4人じゃ? (スコア:1, 興味深い)
習ったおぼえがあります。英語圏では(だけということもないと
思うのですが、) 同じ表現の繰り返しが特に嫌われるので、同じ
ことでも、表現を変えて書くようにと。
学校の英語で習ったことなので、実際にネイティブの方がそんな
ふうに意識して、同じことの書くのに表現をあえて変えて書いたり
するものかどうかはわかりませんけれど。
パスワードの管理 (スコア:3, 参考になる)
管理しているコンピュータ 4台
プロバイダなどのアカウント 2つ
フリーメールアドレスのアカウント 2つ
ネットバンキングなどのアカウント 5つ
Slashdotなどのオンラインサービスのアカウント たくさん
製品のユーザ登録アカウント たくさん
これらで、それぞれ異なるパスワードを使う。
パスワードは大文字、小文字、数字、記号を混ぜた8文字以上にする。
辞書にある単語、ペットや知り合いの名前や住所などは使わない。
パスワードは毎月変更する。
もちろん、メモしない。
ごめんなさい。私には無理です。
誰か助けてください。
あっ、他にも、
Tripwireのパスフレーズ 2つ
GnuPGのパスフレーズ 2つ
Re:パスワードの管理 (スコア:3, 興味深い)
異議あり。
パスワードはメモしておけ [cnet.com]
Re:パスワードの管理 (スコア:3, 参考になる)
WebサービスはWindows版KeePassに、PCのアカウントと銀行のATMはW-ZERO3にインストールしたKeePass に入れている。
使ってみて分かった意外な効果としては、どれだけアカウントを持っているかという把握ができるのが便利。
一度登録しただけのWebサービスとかだと、普通はそのうち忘れてしまうけど、KeePassに入れておけば忘れることがないので、いいよ。
Re:パスワードの管理 (スコア:2)
自動入力書式でIDとPASSWORDを入力してくれるキーマクロっぽい機能が感動的です.
見つけたものが何であるかで,未来の姿が変わる.
高齢化社会 (スコア:2, 興味深い)
そういった理想的なパスワードの管理方法って、
記憶しておくべきパスワードの数がせいぜい5,6個くらいのレベルでしか
実行できないと思います。
で、問題になるのがこれからの高齢化社会ですね。
今はまだ、そらで覚えておけと言われてもなんとか出来なくもないけど、
60代から70代以上の高齢になったら、
メモらず記憶だけに頼れというのは相当無理な注文です。
私は、あきらめて紙にメモってます。
電子機器に入れようかと思ったけど
その機器の調子悪くなったらアウトだし、
暗号化して必要な時に復号して使おうかと思っても
今度は暗号キーの管理の問題が新たに発生するわけで、
つまり「管理のための管理」「管理のための管理のための管理」
という問題がどんどん生まれてしまう。
実際、紙のメモ以上のものってあるんだろうかと。
--------------------
/* SHADOWFIRE */
Re:高齢化社会 (スコア:1)
それも候補ではあるんですが、
以前のストーリーへの投稿でこんな話 [srad.jp]もあったのでどうかと。
# パス管理ならほとんど読み取りだけだから問題ないかな。
# でも電子機器って、壊れる時はいきなりだから困る・・・
--------------------
/* SHADOWFIRE */
Re:パスワードの管理 (スコア:2, 参考になる)
WindowsNTならWとTを付け加えるとか。
これで忘れることが減りましたが、8桁までの制限があったり、数字5桁だったりするとやっぱり忘れますね。
8桁の部分は定期的に変更すればいいんですが、システムが多いと、どれが未変更かだんだんわからなくなってくるので久しく変更してません。
会社名・組織名 (スコア:2, 興味深い)
加わっても+数字(年号)とか。I
やっぱり、覚えやすく作ろうとすればするほど、
辞書攻撃に引っ掛かりやすくなるんですよね。
[]_g@
辞書攻撃 (スコア:2, 興味深い)
と聞いて,
覚えやすくて普通の辞書に載っていない物として,
・日本人の名前など,普通の日本語をローマ字にしたもの
・(コンピュータやゲーム業界では有名な)固有名詞
などを使っていたんだけど,
アタック用の辞書を入手して見たら,どれもしっかり載っていた.
Re:会社名・組織名 (スコア:1)
変える必要がないことが多い・・・とはいえ、
今は設定できませんね。
でもやっぱり安易なものに落ち着いてしまう。
[]_g@
オタにしか解けないパスワード (スコア:2, おもしろおかしい)
以前勤めていた会社(もう無い)でシステムの管理をしていた頃、
社内サーバーのマシン名を英語の動物名にしていて
そのパスワードもマシン名の動物が入った日本名にしていた。
マシン名/パスワード(動物)
Dragon/TATSUNOSHIN(龍)、Tiger/TORANOSUKE(虎)、など。
まぁ、ここまではいい。
で、新たにもう一台増やしたときに真っ黒いマシンだったので
Crow(烏)と名付けてパスワードは悩んだ末に、
当時はまっていたゲームのキャラクター名にすることにした。
最初は『ギャラクシーエンジェル』の「烏丸ちとせ」にしようと思ったのだが、
つい魔が差して『シスターコントラスト!』の「海野カラス」から
そのままUMINOKARASUと言うパスワードを設定した。
私にとってはとても安易なパスワードだが、
Crowから「海野カラス」にたどり着けるような人は、そうはいないだろう。
参考:
『ギャラクシーエンジェル』
→ブロッコリー|http://www.broccoli.co.jp/ [broccoli.co.jp]
『シスターコントラスト!』(成年向け)
→AcasiaSoft|http://www.acaciasoft.jp/ [acaciasoft.jp]
Re:オタにしか解けないパスワード (スコア:3, おもしろおかしい)
わりとシックなデザインだったシスプリの名刺入れを使ってて、 取引先の人が反応したときに
「分かるということは、あなたもですね?」と言って笑い合ったことがあります。
昔のパスワード (スコア:2, 興味深い)
#ちなみに、当時のクライアントはWin95、NTは4.0だったかな?
#ネットワークは整備されておらず、隔離された環境でした。
1.生徒の誕生月を先頭に
この方法だと、生徒もパスワードを忘れることも無く、非常に楽でした。2.名を「かな」で入力
#耕平ならB4^eになる
3.@を入力
4.姓を「かな」で入力
5.誕生日を最後に入力
だんだんカナタイパーも少なくなってきてますし、カナをパスワードに取り入れると、多少は破られにくくなるかもしれません
---------+---------+----------+
年をとるのは素敵なことです。
昔の学生番号 (スコア:1)
打ち方で (スコア:1, 興味深い)
asdzxc(左手で打ちやすい)
123698741(テンキー一周)
1598753(テンキーで又を書く)
!2#4(1234の奇数番目をシフト)
まぁこういう場所で覚えるパスワードに偶数(奇数)番目にシフト使うとかやると結構いいと思ってるんだが
どうなんだろ 一番下とか文字数増やせば結構覚えやすいし破られにくいとは思うのだが、どう?
認識不足な上がいる以上は無駄 (スコア:1, すばらしい洞察)
なんてものを設定してる企業、
数えきれないほどあるんじゃないでしょうかね。
減りつつはあるんだろうけど、覚えやすいとか手間だから、なんて思考が、一部のシステム管理・運用側にあるのも事実。
// 複雑なパスワードルールのせいで、失念したユーザーに逆切れされてる切ないAC
Re:認識不足な上がいる以上は無駄 (スコア:2, 興味深い)
最近は本番サーバに移行する時に付け直すようになりましたが、
以前はそのまま御客様に引き渡していました。
御客様が変えてるとは思えない。(を
Administrator のパスワードは付けない (スコア:2, 参考になる)
昔の社員番号使ってたりする(苦笑) (スコア:1)
#スラドも実はそうなんだよな(苦笑)
field/service (スコア:1)
古きよき時代(といっても20年もたっていませんが)でした。まさか、もうこれはインターネット上に残ってはいないでしょうが。
Re:バカが車のトランクに付ける暗証だ (スコア:1)
Re:安易だが堅牢なパスワード (スコア:2, おもしろおかしい)
>思ひ人の名前をパスワードに・・・
ばれると思う経路
・修学旅行でパスワードがばれる
・パスワードから好きな子がばれるというのもあり
・ゲームのパーティーにコッソリ付けてたのがばれたり
# あれ?