漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 92
ストーリー by hylom
サイトによって傾向の違いとかもあるのかな、 部門より
サイトによって傾向の違いとかもあるのかな、 部門より
あるAnonymous Coward 曰く、
米セキュリティ企業Impervaは3200万アカウントのパスワードを分析し、報告書(PDF)を発表した(本家記事)。
昨年12月、ソーシャルガジェット大手サイトRockyou.comがハッカーによって侵入され、3200万のアカウント情報が漏えいしたという事件があったそうだが、Impervaはこの件で漏えいしたパスワードを分析対象としたとのこと。報告書によると、約半数のパスワードは名前やスラング、単語、連番の数字やキーボード上の隣接する文字を使ったもので、「!@#$%^&*,;"」など特殊文字を使用したパスワードは4%にも満たなかったという。また、最も使われていたパスワードトップ10は以下の通りだそうだ。
- 123456
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
Impervaによると、これ程大規模な実際データが分析されたのは恐らく今回が初めてとのことだ。
もしかして (スコア:3, すばらしい洞察)
123456798 なんてのは大丈夫なの?
Re:もしかして (スコア:1)
98765432l とか
Re: (スコア:0)
それイタダキ、と思いましたが (スコア:2, おもしろおかしい)
どちらも使えませんでした。(8文字制限で)
adminとかtigerとか (スコア:2, すばらしい洞察)
流石に上位には入ってないな。
Re:adminとかtigerとか (スコア:1)
会社名+1 (スコア:2, 興味深い)
今まで勤めた会社でそれをパスワードにしてないとこは無かった。
これの公開はヤバイんじゃないの? (スコア:2)
IDが分かればこのリストで、暗号強度?を下げれるわけだから公開したのはヤバイんじゃないの?
そもそも、こういうパスワードを使う人に、この傾向を是正させることは難しいでしょうから意外と深刻だと思う。
Re:なにを今さら (スコア:2)
それこそ何をいまさら、新たにデータを出すのはマズイでしょ。
Re:なにを今さら (スコア:1)
×新たなデータ
○相変わらずのデータ
うじゃうじゃ
世の中には不思議なことがたくさんある (スコア:2)
どうせならタッチパネルにしてキーボードは取り外そうとか、タッチパネル上にキーのボタンつけようとかして、
実運用に入ってみると何故か「ログインできない」ユーザが多発。
ユーザ認証システムを管理する某SIによくよく確認してみたら、
「実は仕様以外の文字がパスワードに使えるんですよ」
なんて素晴らしい隠し仕様が発現。
結局、ユーザにパスワードを仕様に従って変えるよう指導すると言う運用で決着。
個人的には「いいんだろうか。この運用」と思わんでもないが、客の判断したことだしな……
fj.jokes出身:
有名なやつ (スコア:1, 興味深い)
scott/tigerとか。
change_on_installとか。
p@ssw0rdとか。
qwertyとかasdfghなんかも。
# そのうちqawsedrftgyhujikolpとかも入るのかな。
Re:有名なやつ (スコア:2, 興味深い)
ハトヤマユキオ -> fs7j8g6
記号や数字が禁止/必須だったりあまりいろんなところで使えるモノでははいですが。
Re:くぁwせdrftgyふじこ (スコア:1)
短いパスワードは覚えやすいからかなあ (スコア:1)
関連ストーリーでも必ず上位にランクインしている"123456"
コレなんか意味があるのでしょうか。+-7がマジックナンバーだから?
# そういや「期間内のアタック可能回数/解空間 1/1000」(偶然入れる可能性が1000分の1)
# くらいが基準だと思ってたら1/2が基準だってコンサルに言われて驚いた
# 確かに1/1000だと銀行とか5ヶ月に1回パスワード変えなきゃいけなくなっちゃうわけだけども……
Re:短いパスワードは覚えやすいからかなあ (スコア:1)
多くのシステムで最短6文字となっているから.
でも昔のUnixだと, 最短6文字で「かつ」英字が2文字以上となってたはずだけど.
Re: (スコア:0, オフトピック)
12345 はそれより短いけど、普通はついでだし6まで行こうということでしょう。
12345678 は、1234;5678 なので気合が必要で下位に来る。
1234567 は7のあとに空白があってほんとは8なのでリズムがいいので 12345678 より上。
123456789 が上位なのはキーボードのせい;
さらに 0 の発見が難しい偉大な業績であることを示している。
記号付きパスワード (スコア:1)
[a-zA-Z0-9]+ 以外を受け付けるサービスが少ないから記号付きパスワードはあんまり使いません。
ジェネレータで出てもキーを変えて記号なしのにしたり。
# ここまで s/ハッカー/クラッカー/ なし。
これらのパスワードは (スコア:1)
漏えいしてしまってますから、強固でも意味なかったんじゃ…。
しろうと考え
Re:これらのパスワードは (スコア:2, 興味深い)
私は以前絶対に分からないように。
以下の様にフローラロンドンマラソンを走った時の背番号をパスワードにしたのだが。
fla24178
(fla は、Floraの略)
しばらくして検索したら中国の某サイトで、公開されていたのだ!
どうも、某インターネットバンキングサービスから漏れたらしい。
結局、簡単でも定期的に変えた方が効果があるらしい。
rootのパスワード (スコア:1)
rootrootが基本ですよね
1x8 (スコア:0)
1回目:11111111
2回目:22222222
・
・
・
8回目:88888888
↓
1回目に戻る
という人がいました
案外大丈夫なんだ
#タイトル11111111にしたらダメだと言われてしまった
Re:1x8 (スコア:1)
>4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止だったので
俺だったら月に合わせて
mutsuki
kisaragi
yayoi3
uzuki4
とかやってそう。
Re:1x8 (スコア:1)
>そういうのは辞書攻撃に弱いからダメでしょう。
それは承知の上ですね。
辞書攻撃やその他の手段でハックされるほどの情報持ってないし、そんな立場でもないし。
そんな攻撃を想定していろんなパスワードを設定してもたぶん忘れそうだしw
#そういやアニメのキャラってこういう名前多いんだっけ。
Re: (スコア:0)
定期的なパスワード変更って何で必要なんですかね。
例えば数字10桁のパスワードが必要なシステムがあったとして、
攻撃者は
0000000000
0000000001
0000000002
…
って試していくでしょ。
設定されたパスワードが9999999999だったとすると、
パスワード変更する事で解析にかかる時間はむしろ短くなりますよね
もちろん変更したことで長くなる場合もあるし、
すでにアタック済みのパスワードに変更すると
攻撃者は解析できない事もあると思います
でも確率的な期待値で考えると完全にプラマイ0でしょう
セキュリティが向上しないのにユーザに余計な手間を
かけさせるシステムは滅びた方がいいと思うよ
Re:1x8 (スコア:2, 興味深い)
・パスワードを使用しているのが日本人
・ブルートフォースアタックが条件付全自動
という条件なら、まずは「090」「080」「070」で始まる1千万の数字組、計3千万組を優先させますね。(携帯電話の番号狙い)
次が「頭2桁が00で次の4桁が1900~2010の間、最後4桁が0101~1231の間の366個になっている数字」。(誕生日などの年月日狙い)
Re:1x8 (スコア:1)
それなら、案外、mmddをddmmに変えるだけで見破られにくい?
裏をついて、ddを2回繰り返しとか。
1を聞いて0を知れ!
Re:1x8 (スコア:1)
私が管理者だったら定期的に変えさせますけど.そういうリテラシの低い人とかいるし.
たしかに面倒くさいですけどね.
Re: (スコア:0)
> 間抜けなことになっていいなら,それでもいいんじゃないですか?
元ACとは別人ですが、これに尽きると思います。
脆弱なパスワードなら短期間の使用でも脆弱ですし、
ちゃんとしたパスワードなら一ヶ月使おうが一年使おうが危険度はさほどかわらんと思います。
1時間と100年だったら違うかもしれないので、パスワードは一日3回変えるべしとか、
同じパスワードを70年続けて使ってはいけない、とかなら理解できなくも無いですが。
Re:1x8 (スコア:1, すばらしい洞察)
>でも確率的な期待値で考えると完全にプラマイ0でしょう
「期待値」とはそういう意味じゃないと思うんだなぁボクは。
Re:1x8 (スコア:1, おもしろおかしい)
途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。
変えればそうはならない。
こんな事も分からないのか?
Re: (スコア:0)
パスワードが 90000 だとして、ブルートフォースで、80000まで来たときに、 20000 に変更したら、そりゃ安全ですよ。
でも、それって運だよね。もしかして、あなたは、ブルートフォースされる直前にテレパシーか何かで感じるのかい?
そもそもブルートフォースって、一気にやるから、定期的に変えようが、その時点のパスワードなんだし、変えても変えなくても安全性は変わらないと思うんだが?
複数の文字種で長い(20文字以上)パスワードにすれば変える必要もないと思う。
さらにいえば、どうせサーバー側でハッシュするんだし、漢字でもいいと思うがね。漢字にすれば、それこそブルートフォースじゃ解決できない文字数になる。
間違っています(Re:1x8 (スコア:5, 参考になる)
というよりも、設定する変数が少ないです。また、さいころは出目を覚えないので確率的にも間違ってます。
古典的な「パスワード強度」について簡単に解説します。
# 非常に古典的な話なので全員知った上で話をしてるのかと思ってましたがそうでもないみたいなので:-P
パスワードは、試行回数を無限にとれば必ず破られます。
そのため、「守りたい期間」「単位時間あたりのパスワード試行回数」「パスワード総数」「突破確率」を決める必要があります。
例えば、守りたい期間が1日、試行回数が1日1回、突破確率を0.5だとするならば、パスワード総数10、つまり数字のみ1桁で十分です。
# 毎日パスワードをランダムに変えた場合、さいころは出目を覚えないので、常に突破確率は0.1です。
また、上記の変数からどのくらいの期間安全なのかも判ります。
例えば銀行のパスワードであれば、4桁数字のみなので「パスワード総数」=「10000」になります。(実際にはぞろ目は拒否されたりするけどここでは考えない)
確率的に普通に破られたと見なす0.5を突破確率とおき、試行回数を1ヶ月に2回(3回目でロックされるので毎月2回までは試行可能)だとします。
すると、208年程度は安全であると判ります。
ここで例えば、「お年玉切手シートが当たる程度の運の良さで突破されたらやだなあ」と思うのであれば
「100本に2本(もらえた年賀状は1枚とする)」なので、突破確率は0.02です。
つまり、お年玉切手シートに当たる程度の幸運の持ち主からでも、8年程度は安全だと言えます。
iPhoneも数回間違えると、試行可能回数が1回/15分になりますよね。仮に10回で遅延が発生するなら不眠不休でアタックされても51日は安全です。(突破確率0.5)
以上のように、パスワードの強度を云々するときには、突破確率だとか試行回数だとか期間を無視して解空間のサイズ(パスワード総数)だけ話してても意味はありません。
# 映画の主役級のものすごく幸運なやつは1回目で破るかもしれないし、R田中一郎は最後の最後まで開かないかもしれない。
# アメリカさんの資料だと、その確率は1/1000っておいてたような……
馬肉もわさび園でとれるんですか?(Re:間違っています(Re:1x8 (スコア:1)
しっかりはっきりくっきり上で具体的な数字をあげて説明したのだけれども、どこか間違っていたかな?
もしかして、
1/2の確率で赤、1/2の確率で黒が出るルーレットで、
黒赤赤赤赤赤赤赤赤赤 (赤が9回連続)
と出た場合、『次に赤がでる確率は?』と聞かれたら困る人のレベルから説明した方が良いのでせうか:-P
Re:馬肉もわさび園でとれるんですか?(Re:間違っています(Re:1x8 (スコア:2, おもしろおかしい)
困ります。
10回も続くわけ無いから次は黒だろうjk。
と思ったが、ここまで赤が続けば次も赤な気もしないでもない。
どーしたらいいんだ!
えーい!
黒だ!
んんんんーーーーいやー赤だ!
うはー!
どっちだー!
Re:馬肉もわさび園でとれるんですか?(Re:間違っています(Re:1x8 (スコア:1)
9998までは試したのだが…
マラソンで二位を抜いたら何位?
Re:1x8 (スコア:2)
こういうアカウントをロックするシステムはたまに見かけますが、最悪のセキュリティホールではないでしょうか。
ユーザ名さえわかれば、その人に対する妨害が自由にできてしまいます。
パスワードを間違った場合、次のパスワードを受け付けるまでの時間を数秒空けるだけで、総当たりのアタックに対する対策は現実的には十分では。
銀の弾丸は無いような(Re:1x8 (スコア:1)
ちゃんと追っかけてないので確実とまでは言えませんが、どんな状況にも効果のある対策は無いと思います。
有る状況下で有効な手段も、他の状況下では有効ではなかったりするのは、パスワード関連に限った話ではないでしょう。
本人以外がログインできる状況がすでに異常事態というシステム運用をするなら、ロックは十分ありうる選択肢だと思います。
# 妨害されることよりも、異常検知が重要であったり、ログインされないことの方が重要な場合
他にも、パスワード総数が小さい場合は、数秒ディレイでは現実的な時間内に突破されてしまったりします。
例えば、yoshimoさん提案の上記の方法は、銀行のパスワード受付に適応するには現実的では無いですよね?
# 数字のみ4桁かつ9秒ディレイだと12時間ぐらいで突破されてしまう
# そのため試行可能回数だけ言っても意味はなく、最低限「守りたい期間」「パスワード総数」も前提に置かないと議論にならないです。
しかし、みられたら困るし絶対に守りたい!というシステムであっととしても
(iPhoneなどで設定できる)「10回間違えたら中身全消去」なんてのは、Gmailでは許容されないでしょう。
あとは、Webサービスなんかだと、多数の端末から一斉にアタックされたらどうするの?とか。
(誰かがログインディレイ中は他の端末からのログインは拒否するようにすると、簡単にいやがらせが可能になる)
***
秒間100万回アタックされても一生確率的に安心できるパスワードにしたとしても、今回みたいに平文で保存されて覗かれちゃったら意味はないですしね。
パスワードの話は、何を守りたいのかどう守りたいのかという話のごくごく一部でしかないので、具体論に落とし込まないと発散しそうな気が。
さらに言えば、個別のアカウントに対する攻撃と、そのシステム全体に対する攻撃で対処方法が異なったりもしますし。
# 例えば「ロックされるから銀行の暗証番号は誰も知らない彼女の誕生日でOK」なんてのがなぜ駄目なのかとか。
# みんながみんな日付を暗証番号にしてたら、確率的には61口座集めればどれか一つは突破できてしまいますしね:-P
Re:1x8 (スコア:1)
なぜか、試行回数がパスワードの「通り数」と同じになっていますが、そういう計算なら
1 - (1-1/n)^n ですから n→∞ では当然 1 - 1/e ≒ 0.632120559 に収束しますね。
『試行回数がパスワードの「通り数」と同じ』というのは非現実的ですし、1回1回のアタックと同じまたはそれよりも素早くパスワードを変更する訳ではないから
そういう計算も成立しないです。
Best regards, でぃーすけ
Re:1x8 (スコア:1)
何らかの一度きりの不注意によって、実はパスワードが漏れてたんだけど、
パスワードが漏れていることを隠したい攻撃者がひっそりと何もアクションをせずに潜んでいる場合は、
定期的なパスワード変更は有効でしょう。
けど、そうでない場合。(ソフトウェア的、人的など、何らかの変更後もまだ使える)セキュリティホールの放置による漏れの場合には、何ら効果はないでしょう。
また、頻繁にパスワード変更を強制される場合は、覚えやすいパスワードにしてしまいがちなので、逆効果かもしれません。
1を聞いて0を知れ!
Re: (スコア:0)
私もそれを疑問に感じています。
特に銀行とかの、お金が絡む系。
パスワードの変更って、仮にパスワードが破られた際、他人にアクセスされる可能性は次にパスワードを変更するまでの間に限られるという点では意味があるかと思います。
でも、犯罪者はそんな事は承知の上だから、パスワードを破ることができたら速やかにごっそりと頂けるものを頂きますよね。パスワードが変更される前に。
そういった系統のアカウントで、パスワードを定期的に変更することでどれだけ安全性がプラスになるのか疑問を感じます。
むしろ、何年もの間破られなかったパスワードは、模範的で安全なパスワードと言えるんじゃないでしょうかね。
Re: (スコア:0)
定期的に変更を強いると
似通った法則で変更する傾向が生まれて
それを推測され破りやすくもなったりする
人間の行動原理はたかが知れてるわけだ
Re: (スコア:0)
攻撃者がパスワードを変更するんじゃないかな。
Re: (スコア:0)
Re: (スコア:0)
9999999998まではいったのだが…
Re:1x8 (スコア:1)
>> 4週に一回パスワード変更が必要で、過去7回の履歴は保管されていて、それと同一なのは使用禁止
>「英字大文字、英小文字、数字、記号から3種類以上用いなければならない」とか、
>「同じ文字を3文字以上連続してはならない」とか、
よし、それなら1週目「1qaz!QAZ」 2週目「2wsx"WSX」...だな。
それとも、月に1回強のペースなので、月名+定型句+1or2というのもありだなぁ。
# 目的と手段を取り違えている、の例。
1を聞いて0を知れ!
サービス名をパスワードにしている子はいねぇがぁ! (スコア:0)
なんで「Rockyou」をパスワードにするんだ!!
一般的アメリカ人のパスワード感覚ってこんなものなのかと絶望した!(マジ)
Re:サービス名をパスワードにしている子はいねぇがぁ! (スコア:2, すばらしい洞察)
ワンタイムアカウント? (スコア:0)
Rockyou.comとやらのサイトをぱっと見てみましたが、写真を共有したりバースデーカードを送りあったりするようなソーシャルサイトなんですね。
ソーシャルサイトだとクチコミや評判などを聞いてなんとなく気になるケースは多いと思います。
そのような人の多くは、「始める気はないけどなんとなく中を覗いてみたい」という気持ちになるのではないでしょうか。
そういう動機で作られたアカウントの中には、一度限りしか使わないつもりで入力時の情報をいい加減に入力したものも少なからずあると思います。
そういったアカウントが量産されていく中で、多くの人が簡単に連想するフレーズがこの上位を占めているとか、そんな感じなのではないですかね。
Re:ワンタイムアカウント? (スコア:1)
> いい加減に入力
そんな程度の軽い気持ちで業務してる人もいるもので・・・。
〜◍