パスワードを忘れた? アカウント作成
12841 story
セキュリティ

身近にある安易なパスワード 126

ストーリー by mhatta
うちはJohn The Ripper使ってるな 部門より

liquor曰く、"ITmediaの英国における安易なパスワード・トップ10という記事を読んで、日本だと何になるかなと気になりました。 日本のシステム管理者もパスワードを含めたユーザーの管理には日々頭を悩ませていると思いますが、こんな安易なの使うなよ!って事例がありましたら啓蒙活動がてら晒して頂けませんでしょうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • あだ名つかってます。周囲の人みんな知ってます。たぶん危ないです。

    Manpage of PASSWD [linux.or.jp]曰く、
    "一般的な指針としては、パスワードは以下の集合それぞれから一つ以上の
    文字を使った 6 から 8 文字のものにすべきである。
    • 小文字のアルファベット
    • 大文字のアルファベット
    • 0 から 9 までの数字
    • 句読点
    "
    また、

    "文学作品などから思い出しやすい句を選び出し、それぞれの単語から最初もしくは最後の文字を抜き出す方法がある。
    この方法の例としては、
            Ask not for whom the bell tolls.
    という句から
            An4wtbt.
    というパスワードが作り出せる。 "

    とのこと。
    • by Anonymous Coward on 2006年07月02日 13時03分 (#970931)
      かなーり昔の UNIX USER だったか Software Design だったか、
      日本語の文章を語呂合わせでアルファヌーメリックに置き換える、という
      テクニック(?)が紹介されていました。

      そこで例として出てたのが

      Y!410de-
      (ワイびっくりしてんでー)

      だそうです。ちょっとワロタ。

      で、こういうノウハウを開示していくと
      だんだんクラッカのパスワードクラックエンジンが
      賢くなっていくわけですね。
      親コメント
      • by Anonymous Coward on 2006年07月02日 16時27分 (#971068)
        私も同じような方法で作ってます。 試しに「hn4ntig-s」これくらいならバレそうかな。 単語として存在するものは解析されやすい+盗み見された 場合に一瞬で覚えられる可能性がありますね。 ちなみに語呂合わせのパスワードを生成する 56wzというソフトがありますが。
        親コメント
        • by shojin (28072) on 2006年07月02日 20時21分 (#971167) 日記
          人間の短期記憶脳容量は7±2チャンクと言われています
          ので規則性が無いor他人から推測しにくいパスワードでも
          10文字以上つけないと一瞬で覚えられる危険性がある
          と思います。実際、コマンドプロンプトに間違えて
          タイプした8文字のパスワードを後輩に一瞬で覚えられた
          苦い経験が自分にはありますので。

          経験的にパスワードプロンプトと間違えて
          コマンドプロンプトにタイプしたときに見て
          覚えられることが多いので最初の数文字は管理作業で
          使うようなUnixコマンドと同じにしてあります。
          その部分をタイプしていて気づいたら引返せるように。
          身の回りのシステムはほぼ全て8文字以上のパスワードを
          受け入れるのでパスワード長は常に12文字以上に
          しています。だから、頭の数文字くらいはUnixコマンドと
          同じにして無駄に使っても良いかと。
          親コメント
    • 小学生ぐらいの頃は、自分のファーストネームそのままでした。
      それからファーストネーム+誕生日になり、今ではやっぱりすきなバンドの歌詞から親コメントのようにして作ってます。
      とても好きな歌詞なので絶対に忘れなくて良い感じです。
      親コメント
  • by clubx (27914) on 2006年07月02日 13時03分 (#970933)
    ディスプレイの横にPost Itで貼ってあるといった
    安易な使い方や、
    どうせ盗まれるモノなんかないからといった
    安易な考え方
    の方が危険な気がする。
    • by Chiether (20555) <spamhere@chiether.net> on 2006年07月02日 18時15分 (#971118) 日記
      ある会社ではダミーアカウントを用意してあって
      ポストイットでパスワードを書込み貼り付けあり
      ログインを検知してアラートが飛ぶ仕組みを見た事がある。

      果たして有効だったのかどうかは知らないが
      しばらく自社で話のネタにはなった。
      --
      ==========================================
      投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
      親コメント
  • 調査の方法は? (スコア:5, すばらしい洞察)

    by Misorano (31326) on 2006年07月02日 13時13分 (#970942)
    これ、どうやって調査したんですかね?
    私など、他人にパスワードを聞かれても教えるなって教育されているんですが、
    普通にアンケートをとったら、みんな教えてくれたんですかね?

    匿名にしても、中りをつけやすくなるので、これって、セキュリティホールになり得る気がします。

    • Re:調査の方法は? (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2006年07月02日 13時34分 (#970959)
      恣意的な調査というのはなしでしょうか?

      全員目をつぶりなさい。はい、つぶりましたね
      以下の文字列をパスワードにしている人、黙って手を挙げなさい。

      admin
      root
      toor
      password
      1234
      (以下略)
      親コメント
    • そのランキングに載ってる辞書でいろんなサービスにアタックして
      ゲットできたアカウント数とかなんじゃ?w
      親コメント
    • by Anonymous Coward on 2006年07月02日 15時10分 (#971020)
      良いパスワードを使う層ってこういうアンケートに答えない率が高いと思うんだけど。
      結果的に、安直なパスワードの率が高くなってるってことないのかね。

      もっとも調査の目的は実態を正確に把握することじゃなくて、
      高い数字を出して恐怖を煽ることだろうからこれで良いのかも。
      正確な数字が出たところで、それが役立つものだとも思えないし。
      親コメント
  • by Ooty (29466) on 2006年07月02日 14時29分 (#970993) 日記
    セキュリティ上、詳しいことは書けませんが、あるコンピュータで使われているパスワードの強度をチェックしたことがあります。アカウント数は、30程度でした。

    解読されたパスワードを脆弱だった順に書くと、
    1. 管理を任されている学生
    2. 年配の研究者
    3. 40歳代の研究者
    4. 年配の研究者
    5. 50歳代の研究者
    の5人でした。
    全アカウント中、40歳以上の方は8人でした。

    (1)は、「コンピュータの管理を任されているしっかりした学生だから」という理由で、前管理者(私)が過信し、適当につけた初期パスワードを渡したところ、彼がそのままそれを使い続けていたというものです。
    他の学生には、いつも細かく注意していたのですが。

    統計量が少ないので、正確なことは言えませんが、まず気が付くのは、「年配の方に注意」でしょう。意外に学生のほうが強固なパスワードを使っているようです。
    それと、見方を変えると、「アカウント発行時には、そのときに、全員にパスワードの取り扱いについて注意・説明することが大切」ということも見えてきます。責任ある役職の人だからとか、コンピュータに詳しい人だからとか、情報処理の授業や計算機利用説明会などで習っているだろうとか、そういう理由で安心して、注意・説明を怠ってしまうと、そこが全て落とし穴になってしまった。

    悪い管理の見本です。
  • 暗証番号とかなら (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2006年07月02日 12時59分 (#970926)
    キリのいい番号にすることが多いですね。
    1024とか4096とか。
    • by Ooty (29466) on 2006年07月02日 15時43分 (#971040) 日記
      うーん。
      やっぱり、誕生日だけでなく、2の平方根とか、素数とか、円周率とか、プランク定数とかは安易な暗証番号になってしまうんでしょうか?

      でも、そもそも暗証番号が大抵4桁しかないのも問題だと思う。

      親コメント
    • Re:暗証番号とかなら (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2006年07月02日 13時09分 (#970939)
      そして一般人に
      「それのどこがキリがいいんだよ」
      と突っ込まれるわけですね:)
      親コメント
    • by Anonymous Coward on 2006年07月02日 13時24分 (#970952)
      自分の名前のJISコード使ってます。
      自分にはすこぶる覚えやすいのですが。
      さすがにきりは良くないです
      親コメント
    • by Anonymous Coward on 2006年07月02日 14時50分 (#971006)
      民放の街頭調査だと6~7割が生年月日という結果が昨年夕方の番組で報道されていました。
      どこまで正しいかは分かりませんが予想外に高い値に、キャッシュカードが安易に破られる理由も実感した放送ではありました。

      #幾らなんでももっと低い値だと思ったんだけどねぇ。(苦笑)
      親コメント
      • by njt (4968) on 2006年07月03日 11時33分 (#971455) 日記
        4桁で誕生日を使うと、本来なら0000-9999の1万通りあるところ、366通りしか使わないという点でも弱くなっちゃうんですよね。これだと総当たりできちゃいかねない。

        更に、8桁だと、00000000-99999999の1億通りが、19060101-20060703(100歳以上の人は対象外とした場合)を当たればいいので、365.25 * 100 = 36,525通りに弱くなってしまうという。
        親コメント
  • by home_card (26229) on 2006年07月02日 13時02分 (#970930)
    ブログの日記じゃあるまいしせめて元記事のこれぐらい載っけておいてくれよ。

    1.123
    2.password
    3.liverpool(イングランドの人気サッカーチーム)
    4.letmein(「入れてくれ」――現代版「開けゴマ」)
    5.123456
    6.qwerty(キーボード左上のキー配列)
    7.charlie(英国でよくある人名)
    8.monkey(理由不明)
    9.arsenal(イングランドの人気サッカーチーム)
    10.thomas(もう1つよくある人名)
  • by Anonymous Coward on 2006年07月02日 13時04分 (#970934)
    1位の説明
    > ほぼ1000人に4人の割合でいるという証しだ。

    2位の説明
    > ほぼ250人に1人がこれを使っていた。

    ???
    よくわかんないけど、どっちも同じだよね?
    4人と1人で印象変えようとしている??
    • by takl (14577) on 2006年07月02日 15時30分 (#971033)
      元記事はこれ [modernlife...bish.co.uk]かな?

      原文でも確かに
      「1000人に4人」「250人に1人」という表現になってますが、

      1. '123' (3.784‰)
      2. 'password' (3.780‰)

      だそうで、123の方が若干多いようです。
      親コメント
    • by Anonymous Coward on 2006年07月02日 13時43分 (#970965)
      学生の頃に英作文のときには同じ表現を繰り返さないようにと
      習ったおぼえがあります。英語圏では(だけということもないと
      思うのですが、) 同じ表現の繰り返しが特に嫌われるので、同じ
      ことでも、表現を変えて書くようにと。

      学校の英語で習ったことなので、実際にネイティブの方がそんな
      ふうに意識して、同じことの書くのに表現をあえて変えて書いたり
      するものかどうかはわかりませんけれど。
      親コメント
  • by Ooty (29466) on 2006年07月02日 13時46分 (#970968) 日記
    コンピュータのアカウント 6つ
    管理しているコンピュータ 4台
    プロバイダなどのアカウント 2つ
    フリーメールアドレスのアカウント 2つ
    ネットバンキングなどのアカウント 5つ
    Slashdotなどのオンラインサービスのアカウント たくさん
    製品のユーザ登録アカウント たくさん

    これらで、それぞれ異なるパスワードを使う。
    パスワードは大文字、小文字、数字、記号を混ぜた8文字以上にする。
    辞書にある単語、ペットや知り合いの名前や住所などは使わない。
    パスワードは毎月変更する。
    もちろん、メモしない。

    ごめんなさい。私には無理です。
    誰か助けてください。

    あっ、他にも、
    Tripwireのパスフレーズ 2つ
    GnuPGのパスフレーズ 2つ
    • by tea_cup (14249) on 2006年07月02日 14時25分 (#970991) 日記
      >>もちろん、メモしない。
       異議あり。
      パスワードはメモしておけ [cnet.com]
      親コメント
    • by akudaikan (26016) on 2006年07月02日 14時38分 (#970998)
      KeePass Password Safe [sourceforge.net]使えば?
      WebサービスはWindows版KeePassに、PCのアカウントと銀行のATMはW-ZERO3にインストールしたKeePass に入れている。
      使ってみて分かった意外な効果としては、どれだけアカウントを持っているかという把握ができるのが便利。
      一度登録しただけのWebサービスとかだと、普通はそのうち忘れてしまうけど、KeePassに入れておけば忘れることがないので、いいよ。
      親コメント
    • 高齢化社会 (スコア:2, 興味深い)

      by shadowfire (6584) on 2006年07月02日 14時41分 (#971001) ホームページ
      かなーり激しく同意です。

      そういった理想的なパスワードの管理方法って、
      記憶しておくべきパスワードの数がせいぜい5,6個くらいのレベルでしか
      実行できないと思います。

      で、問題になるのがこれからの高齢化社会ですね。
      今はまだ、そらで覚えておけと言われてもなんとか出来なくもないけど、
      60代から70代以上の高齢になったら、
      メモらず記憶だけに頼れというのは相当無理な注文です。

      私は、あきらめて紙にメモってます。
      電子機器に入れようかと思ったけど
      その機器の調子悪くなったらアウトだし、
      暗号化して必要な時に復号して使おうかと思っても
      今度は暗号キーの管理の問題が新たに発生するわけで、
      つまり「管理のための管理」「管理のための管理のための管理」
      という問題がどんどん生まれてしまう。
      実際、紙のメモ以上のものってあるんだろうかと。

      --
      --------------------
      /* SHADOWFIRE */
      親コメント
    • by tatsushi (87) on 2006年07月02日 16時39分 (#971083) ホームページ 日記
      真ん中8桁を同じにして、先頭と末尾にそのシステムの名称から1字づつ付け加え、10桁にして使ってます。
      WindowsNTならWとTを付け加えるとか。

      これで忘れることが減りましたが、8桁までの制限があったり、数字5桁だったりするとやっぱり忘れますね。

      8桁の部分は定期的に変更すればいいんですが、システムが多いと、どれが未変更かだんだんわからなくなってくるので久しく変更してません。
      親コメント
  • by Amayu (17356) on 2006年07月02日 13時01分 (#970928)
    共有しているパスワードはこの傾向が多いでしょうか。
    加わっても+数字(年号)とか。I

    やっぱり、覚えやすく作ろうとすればするほど、
    辞書攻撃に引っ掛かりやすくなるんですよね。
    --
    []_g@
    • 辞書攻撃 (スコア:2, 興味深い)

      by shuu02 (31177) on 2006年07月02日 13時45分 (#970966)
      「普通の辞書に載ってる言葉は危ない」
      と聞いて,
      覚えやすくて普通の辞書に載っていない物として,
      ・日本人の名前など,普通の日本語をローマ字にしたもの
      ・(コンピュータやゲーム業界では有名な)固有名詞
      などを使っていたんだけど,
      アタック用の辞書を入手して見たら,どれもしっかり載っていた.
      親コメント
    • by Amayu (17356) on 2006年07月02日 13時07分 (#970936)
      あと、system/manager

      変える必要がないことが多い・・・とはいえ、
      今は設定できませんね。
      でもやっぱり安易なものに落ち着いてしまう。
      --
      []_g@
      親コメント
  • by Anonymous Coward on 2006年07月02日 14時14分 (#970986)
    安易なパスワードと言えば…
    以前勤めていた会社(もう無い)でシステムの管理をしていた頃、
    社内サーバーのマシン名を英語の動物名にしていて
    そのパスワードもマシン名の動物が入った日本名にしていた。
    マシン名/パスワード(動物)
    Dragon/TATSUNOSHIN(龍)、Tiger/TORANOSUKE(虎)、など。
    まぁ、ここまではいい。

    で、新たにもう一台増やしたときに真っ黒いマシンだったので
    Crow(烏)と名付けてパスワードは悩んだ末に、
    当時はまっていたゲームのキャラクター名にすることにした。
    最初は『ギャラクシーエンジェル』の「烏丸ちとせ」にしようと思ったのだが、
    つい魔が差して『シスターコントラスト!』の「海野カラス」から
    そのままUMINOKARASUと言うパスワードを設定した。

    私にとってはとても安易なパスワードだが、
    Crowから「海野カラス」にたどり着けるような人は、そうはいないだろう。

    参考:
    『ギャラクシーエンジェル』
    →ブロッコリー|http://www.broccoli.co.jp/ [broccoli.co.jp]
    『シスターコントラスト!』(成年向け)
    →AcasiaSoft|http://www.acaciasoft.jp/ [acaciasoft.jp]
    • by Anonymous Coward on 2006年07月02日 14時36分 (#970996)
      表題に書かれている通り、理解できる奴は同類ということですね。
      わりとシックなデザインだったシスプリの名刺入れを使ってて、 取引先の人が反応したときに
      「分かるということは、あなたもですね?」と言って笑い合ったことがあります。
      親コメント
  • by kohei (8454) on 2006年07月02日 16時17分 (#971060) ホームページ 日記
    その昔、試験的に生徒にアカウント振ってログオンさせる時に使ってたパスワードの作り方。

    #ちなみに、当時のクライアントはWin95、NTは4.0だったかな?
    #ネットワークは整備されておらず、隔離された環境でした。

    1.生徒の誕生月を先頭に
    2.名を「かな」で入力
    #耕平ならB4^eになる
    3.@を入力
    4.姓を「かな」で入力
    5.誕生日を最後に入力

    この方法だと、生徒もパスワードを忘れることも無く、非常に楽でした。
    だんだんカナタイパーも少なくなってきてますし、カナをパスワードに取り入れると、多少は破られにくくなるかもしれません
    --
    ---------+---------+----------+
    年をとるのは素敵なことです。
  • by Anonymous Coward on 2006年07月02日 12時52分 (#970918)
    同期だった奴には推測されるかも知れないなぁ
  • 打ち方で (スコア:1, 興味深い)

    by Anonymous Coward on 2006年07月02日 12時53分 (#970919)
    安易なパスワードというかどうかわからんが
    asdzxc(左手で打ちやすい)
    123698741(テンキー一周)
    1598753(テンキーで又を書く)
    !2#4(1234の奇数番目をシフト)
    まぁこういう場所で覚えるパスワードに偶数(奇数)番目にシフト使うとかやると結構いいと思ってるんだが
    どうなんだろ 一番下とか文字数増やせば結構覚えやすいし破られにくいとは思うのだが、どう?
  • by Anonymous Coward on 2006年07月02日 12時56分 (#970922)
    Administratorに「admin」「password」「aaa」
    なんてものを設定してる企業、
    数えきれないほどあるんじゃないでしょうかね。
    減りつつはあるんだろうけど、覚えやすいとか手間だから、なんて思考が、一部のシステム管理・運用側にあるのも事実。

    // 複雑なパスワードルールのせいで、失念したユーザーに逆切れされてる切ないAC
  • 今でもメンドクサイ時は、パスワードに昔の社員番号を使う場合が多かったりする。

    #スラドも実はそうなんだよな(苦笑)
  • by nq (16642) on 2006年07月02日 14時51分 (#971009) 日記
    その後2回にわたって吸収合併された某老舗ミニコン・ワークステーションメーカーの製品には、すべて同一の簡単なパスワードのついた、フィールドサービス用の管理者権限ユーザーがデフォルトで設定されていましたね。
     古きよき時代(といっても20年もたっていませんが)でした。まさか、もうこれはインターネット上に残ってはいないでしょうが。
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...