パスワードを忘れた? アカウント作成
187443 story
セキュリティ

漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 92

ストーリー by hylom
サイトによって傾向の違いとかもあるのかな、 部門より

あるAnonymous Coward 曰く、

米セキュリティ企業Impervaは3200万アカウントのパスワードを分析し、報告書(PDF)を発表した(本家記事)。

昨年12月、ソーシャルガジェット大手サイトRockyou.comがハッカーによって侵入され、3200万のアカウント情報が漏えいしたという事件があったそうだが、Impervaはこの件で漏えいしたパスワードを分析対象としたとのこと。報告書によると、約半数のパスワードは名前やスラング、単語、連番の数字やキーボード上の隣接する文字を使ったもので、「!@#$%^&*,;"」など特殊文字を使用したパスワードは4%にも満たなかったという。また、最も使われていたパスワードトップ10は以下の通りだそうだ。

  1. 123456
  2. 12345
  3. 123456789
  4. Password
  5. iloveyou
  6. princess
  7. rockyou
  8. 1234567
  9. 12345678
  10. abc123

Impervaによると、これ程大規模な実際データが分析されたのは恐らく今回が初めてとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • もしかして (スコア:3, すばらしい洞察)

    by unchikun (14429) on 2010年01月26日 20時41分 (#1708876)

    123456798 なんてのは大丈夫なの?

  • adminとかtigerとか (スコア:2, すばらしい洞察)

    by marute (13883) on 2010年01月26日 20時37分 (#1708873) 日記

    流石に上位には入ってないな。

  • 会社名+1 (スコア:2, 興味深い)

    by Anonymous Coward on 2010年01月26日 21時31分 (#1708904)
    Microsoft1 とか。
    今まで勤めた会社でそれをパスワードにしてないとこは無かった。
  • IDが分かればこのリストで、暗号強度?を下げれるわけだから公開したのはヤバイんじゃないの?
    そもそも、こういうパスワードを使う人に、この傾向を是正させることは難しいでしょうから意外と深刻だと思う。

  • パスワードに使える文字がえらく貧弱(記号がほぼダメ)な仕様のユーザ認証システムへ問い合わせるシステムを頼まれて、
    どうせならタッチパネルにしてキーボードは取り外そうとか、タッチパネル上にキーのボタンつけようとかして、
    実運用に入ってみると何故か「ログインできない」ユーザが多発。
    ユーザ認証システムを管理する某SIによくよく確認してみたら、
    「実は仕様以外の文字がパスワードに使えるんですよ」
    なんて素晴らしい隠し仕様が発現。
    結局、ユーザにパスワードを仕様に従って変えるよう指導すると言う運用で決着。
    個人的には「いいんだろうか。この運用」と思わんでもないが、客の判断したことだしな……
    --
    fj.jokes出身:
  • 有名なやつ (スコア:1, 興味深い)

    by Anonymous Coward on 2010年01月26日 20時35分 (#1708871)

    scott/tigerとか。
    change_on_installとか。
    p@ssw0rdとか。
    qwertyとかasdfghなんかも。

    # そのうちqawsedrftgyhujikolpとかも入るのかな。

  • 関連ストーリーでも必ず上位にランクインしている"123456"
    コレなんか意味があるのでしょうか。+-7がマジックナンバーだから?

    # そういや「期間内のアタック可能回数/解空間 1/1000」(偶然入れる可能性が1000分の1)
    # くらいが基準だと思ってたら1/2が基準だってコンサルに言われて驚いた
    # 確かに1/1000だと銀行とか5ヶ月に1回パスワード変えなきゃいけなくなっちゃうわけだけども……

    • 多くのシステムで最短6文字となっているから.

      でも昔のUnixだと, 最短6文字で「かつ」英字が2文字以上となってたはずだけど.

      親コメント
    • Re: (スコア:0, オフトピック)

      人間が直感的に判定できる数の上限が6だからかな。
      12345 はそれより短いけど、普通はついでだし6まで行こうということでしょう。
      12345678 は、1234;5678 なので気合が必要で下位に来る。
      1234567 は7のあとに空白があってほんとは8なのでリズムがいいので 12345678 より上。
      123456789 が上位なのはキーボードのせい;
      さらに 0 の発見が難しい偉大な業績であることを示している。
  • by STRing (14928) on 2010年01月27日 0時30分 (#1709022) 日記

    [a-zA-Z0-9]+ 以外を受け付けるサービスが少ないから記号付きパスワードはあんまり使いません。
    ジェネレータで出てもキーを変えて記号なしのにしたり。

    # ここまで s/ハッカー/クラッカー/ なし。

  • 漏えいしてしまってますから、強固でも意味なかったんじゃ…。

    --
    しろうと考え
    • by reininn (35924) on 2010年01月27日 8時37分 (#1709106)
      その通り!
      私は以前絶対に分からないように。
      以下の様にフローラロンドンマラソンを走った時の背番号をパスワードにしたのだが。
      fla24178
      (fla は、Floraの略)
      しばらくして検索したら中国の某サイトで、公開されていたのだ!
      どうも、某インターネットバンキングサービスから漏れたらしい。
      結局、簡単でも定期的に変えた方が効果があるらしい。
      親コメント
  • by onikuya (17148) on 2010年01月27日 10時31分 (#1709160) 日記

    rootrootが基本ですよね

  • by Anonymous Coward on 2010年01月26日 20時57分 (#1708885)
    4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止だったので
    1回目:11111111
    2回目:22222222



    8回目:88888888

    1回目に戻る
    という人がいました
    案外大丈夫なんだ

    #タイトル11111111にしたらダメだと言われてしまった
    • by nemui4 (20313) on 2010年01月27日 9時31分 (#1709125) 日記

      >4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止だったので

      俺だったら月に合わせて

      mutsuki
      kisaragi
      yayoi3
      uzuki4

      とかやってそう。

      親コメント
    • by Anonymous Coward
      無駄に長い変更履歴管理のシステムを見ると思うんですが、
      定期的なパスワード変更って何で必要なんですかね。

      例えば数字10桁のパスワードが必要なシステムがあったとして、
      攻撃者は
      0000000000
      0000000001
      0000000002

      って試していくでしょ。

      設定されたパスワードが9999999999だったとすると、
      パスワード変更する事で解析にかかる時間はむしろ短くなりますよね

      もちろん変更したことで長くなる場合もあるし、
      すでにアタック済みのパスワードに変更すると
      攻撃者は解析できない事もあると思います
      でも確率的な期待値で考えると完全にプラマイ0でしょう

      セキュリティが向上しないのにユーザに余計な手間を
      かけさせるシステムは滅びた方がいいと思うよ
      • Re:1x8 (スコア:2, 興味深い)

        by Anonymous Coward on 2010年01月26日 21時37分 (#1708908)

        ・パスワードを使用しているのが日本人
        ・ブルートフォースアタックが条件付全自動

        という条件なら、まずは「090」「080」「070」で始まる1千万の数字組、計3千万組を優先させますね。(携帯電話の番号狙い)
        次が「頭2桁が00で次の4桁が1900~2010の間、最後4桁が0101~1231の間の366個になっている数字」。(誕生日などの年月日狙い)

        親コメント
      • by hie (30131) on 2010年01月26日 21時37分 (#1708907) ホームページ
        実はパスワードをチラ見されて第三者にバレバレなのに本人が気づいてないとかいう間抜けなことになっていいなら,それでもいいんじゃないですか?
        私が管理者だったら定期的に変えさせますけど.そういうリテラシの低い人とかいるし.
        たしかに面倒くさいですけどね.
        親コメント
        • by Anonymous Coward
          > 実はパスワードをチラ見されて第三者にバレバレなのに本人が気づいてないとかいう
          > 間抜けなことになっていいなら,それでもいいんじゃないですか?
          元ACとは別人ですが、これに尽きると思います。

          脆弱なパスワードなら短期間の使用でも脆弱ですし、
          ちゃんとしたパスワードなら一ヶ月使おうが一年使おうが危険度はさほどかわらんと思います。
          1時間と100年だったら違うかもしれないので、パスワードは一日3回変えるべしとか、
          同じパスワードを70年続けて使ってはいけない、とかなら理解できなくも無いですが。
      • Re:1x8 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2010年01月26日 21時43分 (#1708913)

        >でも確率的な期待値で考えると完全にプラマイ0でしょう

        「期待値」とはそういう意味じゃないと思うんだなぁボクは。

        親コメント
      • Re:1x8 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2010年01月26日 22時00分 (#1708928)

        途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。
        変えればそうはならない。
        こんな事も分からないのか?

        親コメント
        • by Anonymous Coward
          数字5桁なら 00000 から 99999 の10万件ですよね。
          パスワードが 90000 だとして、ブルートフォースで、80000まで来たときに、 20000 に変更したら、そりゃ安全ですよ。
          でも、それって運だよね。もしかして、あなたは、ブルートフォースされる直前にテレパシーか何かで感じるのかい?

          そもそもブルートフォースって、一気にやるから、定期的に変えようが、その時点のパスワードなんだし、変えても変えなくても安全性は変わらないと思うんだが?

          複数の文字種で長い(20文字以上)パスワードにすれば変える必要もないと思う。
          さらにいえば、どうせサーバー側でハッシュするんだし、漢字でもいいと思うがね。漢字にすれば、それこそブルートフォースじゃ解決できない文字数になる。
      • by greentea (17971) on 2010年01月27日 0時26分 (#1709020) 日記

        何らかの一度きりの不注意によって、実はパスワードが漏れてたんだけど、
        パスワードが漏れていることを隠したい攻撃者がひっそりと何もアクションをせずに潜んでいる場合は、
        定期的なパスワード変更は有効でしょう。

        けど、そうでない場合。(ソフトウェア的、人的など、何らかの変更後もまだ使える)セキュリティホールの放置による漏れの場合には、何ら効果はないでしょう。
        また、頻繁にパスワード変更を強制される場合は、覚えやすいパスワードにしてしまいがちなので、逆効果かもしれません。

        --
        1を聞いて0を知れ!
        親コメント
      • by Anonymous Coward
        >定期的なパスワード変更って何で必要なんですかね。

        私もそれを疑問に感じています。
        特に銀行とかの、お金が絡む系。

        パスワードの変更って、仮にパスワードが破られた際、他人にアクセスされる可能性は次にパスワードを変更するまでの間に限られるという点では意味があるかと思います。
        でも、犯罪者はそんな事は承知の上だから、パスワードを破ることができたら速やかにごっそりと頂けるものを頂きますよね。パスワードが変更される前に。

        そういった系統のアカウントで、パスワードを定期的に変更することでどれだけ安全性がプラスになるのか疑問を感じます。
        むしろ、何年もの間破られなかったパスワードは、模範的で安全なパスワードと言えるんじゃないでしょうかね。
        • by Anonymous Coward

          定期的に変更を強いると
          似通った法則で変更する傾向が生まれて
          それを推測され破りやすくもなったりする
          人間の行動原理はたかが知れてるわけだ

        • by Anonymous Coward
          っていうかパスワードが破られた場合、
          攻撃者がパスワードを変更するんじゃないかな。
        • by Anonymous Coward
          金銭目的ならそうかもしれないけれど、長期に渡って情報を盗みだし続けたいなどといった用途であれば、すぐ検知されるような行動は控えたり、ここぞというタイミングまで寝かせとくことも有り得るんじゃないでしょうか。
      • by Anonymous Coward

        9999999998まではいったのだが…

  • なんで「Rockyou」をパスワードにするんだ!!

    一般的アメリカ人のパスワード感覚ってこんなものなのかと絶望した!(マジ)

  • by Anonymous Coward on 2010年01月26日 22時23分 (#1708957)

    Rockyou.comとやらのサイトをぱっと見てみましたが、写真を共有したりバースデーカードを送りあったりするようなソーシャルサイトなんですね。
    ソーシャルサイトだとクチコミや評判などを聞いてなんとなく気になるケースは多いと思います。
    そのような人の多くは、「始める気はないけどなんとなく中を覗いてみたい」という気持ちになるのではないでしょうか。
    そういう動機で作られたアカウントの中には、一度限りしか使わないつもりで入力時の情報をいい加減に入力したものも少なからずあると思います。
    そういったアカウントが量産されていく中で、多くの人が簡単に連想するフレーズがこの上位を占めているとか、そんな感じなのではないですかね。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...