IEEEで会員10万人分のIDとパスワードが漏えい。人気のパスワードは「123456」 50
ストーリー by headless
公開 部門より
公開 部門より
やや旧聞となるが、IEEEのWebサーバーのログが暗号化されない状態で公開されていたため、会員約10万人分のIDとパスワードが漏えいしたそうだ(IEEE logの記事、
IEEEのニュースリリース、
Computerworldの記事、
本家/.)。
発見者のRadu Dragusin氏によれば、ログはIEEEおよびIEEE SpectrumのWebサイトのもので、パスワードも暗号化されていなかったとのこと。Dragushin氏が発見したのは9月18日だが、少なくとも1か月前からこの状態だったと考えられるという。パスワードが漏えいしたユーザーの中には、Apple、Google、IBM、Oracle、Samsungの社員や、NASA、スタンフォード大の研究者なども含まれているそうだ。IEEEは25日までに対策を行い、ユーザーにパスワード変更を呼び掛けている。
Dragushin氏は入手したデータ自体を公開するつもりはないとしているが、データの解析結果をIEEE logで発表している。これによると、最も多く使われていたパスワードは「123456」で271件。2番目が270件の「ieee2012」で、以降「12345678」「123456789」「password」が続く。「123」も60件あり、上位18種類のパスワードだけで計1,729件となっている。
発見者のRadu Dragusin氏によれば、ログはIEEEおよびIEEE SpectrumのWebサイトのもので、パスワードも暗号化されていなかったとのこと。Dragushin氏が発見したのは9月18日だが、少なくとも1か月前からこの状態だったと考えられるという。パスワードが漏えいしたユーザーの中には、Apple、Google、IBM、Oracle、Samsungの社員や、NASA、スタンフォード大の研究者なども含まれているそうだ。IEEEは25日までに対策を行い、ユーザーにパスワード変更を呼び掛けている。
Dragushin氏は入手したデータ自体を公開するつもりはないとしているが、データの解析結果をIEEE logで発表している。これによると、最も多く使われていたパスワードは「123456」で271件。2番目が270件の「ieee2012」で、以降「12345678」「123456789」「password」が続く。「123」も60件あり、上位18種類のパスワードだけで計1,729件となっている。
犯罪幇助? (スコア:2, 興味深い)
こういう解析結果を公開するのは倫理的にセーフといえるのだろうか?
多くの人間が用いやすいパスワードを知る事は不正アクセスの手助けに繋がらないかと。
パスワードを複雑にしろ定期的に変更しろなんて昔から言われてるけど利便性を追求してみんな単純で覚えやすいものにしてるのだろうし
Re:犯罪幇助? (スコア:2, すばらしい洞察)
同意する部分もあるけど、やっぱりこういう情報は公知に振っていく方がいいんじゃないかな。
安全性が生年月日にすら満たないようなパスワードは、パスワードとしての機能を果たさない事を常識として、
作り手やユーザーの意識を作っていく方が正しい気がする。
Re: (スコア:0)
関連ストーリー見れば分かる通りとっくに公知の事実なので。犯罪者にとって新しい情報はなにもないよ。
Re: (スコア:0)
まぁ記事を読んでいても「ああやっぱりそうか」ぐらいの感想ですからねぇ
パスワード (スコア:1)
コンタクト
緊急にパスワードの標準化が求められる (スコア:0)
あのPマークでさえパスワードの字数に制限を付けるよう指導しているというのに
Re:緊急にパスワードの標準化が求められる (スコア:3, おもしろおかしい)
字数に制限とだけ言うと、
「パスワードは16文字まで」みたいな「制限」を思い浮かべてしまう。
Re:緊急にパスワードの標準化が求められる (スコア:2, おもしろおかしい)
パスワードの標準化と言われると、「パスワードは123456で統一しましょう」みたいな「標準化」を思い浮かべてしまう。
Re: (スコア:0)
IDは16文字以上で数字、記号を含んだものにしましょう
Re:緊急にパスワードの標準化が求められる (スコア:1)
FIPSとか出してるNISTがまとめてると思うんだけど、SP 800-118 DRAFT Guide to Enterprise Password Management [nist.gov]こんな感じで標準的な手順というより解説みたいになってるんですよね。
ストレージがなんであれ、保存前までの手順は標準化できないものかな。
Re:緊急にパスワードの標準化が求められる (スコア:3, 参考になる)
もっと昔は1985年にDoDから、CSC-STD-002-85 DEPARTMENT OF DEFENSE PASSWORD MANAGEMENT GUIDELINE [dtic.mil] (通称Green Book)というのがありまして。
パスワード突破確率とパスワード変更周期を想定してパスワード長を決定するという数式があるんですが、想定しているシステム環境がとても今の時代に合うものじゃないんですよねー。
Re:緊急にパスワードの標準化が求められる (スコア:1)
ジョークRFCみたいにパスワード平文保存をIEEE xxxとして標準化するぐらいの気持ちが欲しいなぁ。
で、セキュリティを上げたのをIEEE xxx.a IEEE xxx.bと追加していくと。
#『このアプリケーションはパスワードの保存規格として標準的なIEEE xxx無印を採用しています』とか書きたいだけだったり
#IEEEの鏡文字『3331』はさすがに上位ではなかったか
Re:緊急にパスワードの標準化が求められる (スコア:1)
>#IEEEの鏡文字『3331』
こんどそれにしょう、さんきゅ
Re: (スコア:0)
つまり、Anonymous Cowardのパスワードは3331ってことだな。
いいこと聞いた。こんどAnonymous Cowardに成りすますときに使おう
Re:緊急にパスワードの標準化が求められる (スコア:1)
Re:緊急にパスワードの標準化が求められる (スコア:1)
「記号は使えない」と「記号を含めろ」が混在している状況ははなんとかして欲しいね。
Re:緊急にパスワードの標準化が求められる (スコア:1)
Re: (スコア:0)
なんとかするのは case insensitive の方じゃないの?
Re: (スコア:0)
あと、「4桁の数字のみ」も。
Re: (スコア:0)
Re: (スコア:0)
そんな他人のバラすような真似できるようなわけがない
暗号強度を表示するサイトとかならあるが
Re: (スコア:0)
Re: (スコア:0)
アカウントロックのいやがらせ攻撃ができるわけですね
きみクビね
Re: (スコア:0)
攻撃する側は、一度だけ嫌がらせができるけど、それ以上に得られるものは全くない。被攻撃者が難解なパスワードに変更する毎にその嫌がらせも困難になる。
きみもクビね。
Re: (スコア:0)
元コメはメッセージの文面が悪いだけ。
単に「パスワードとして使えません」と出すだけでいい。
UNIXだと、辞書を引っ張ってきて、強度の低いパスワードを設定できないようにしているところは多いと思う。
# 平分のパスワードを漏洩させるところって、どうしてハッシュ値だけにしておかないのだろう。
Re: (スコア:0)
「そのバズワード(buzzword)は既に使用されています。他のバズワードを選択してください」
なら仕事でよく出すな。
「えーまたビックデータ? もうちょっとワクワクするネタないの?」
# そんなそうそういいネタ出せるかー!!!
パスワードに関する考えはどこに行っても変わらないものなの? (スコア:0)
登録者がどこに所属してようと、どこに登録するパスワードでも、パスワード戦略はだいたい同じってことかね。
/*
昨年「お前SPAM送ってるんじゃないのか?」てな手紙をISPから受け取って以来、
登録してるWeb上のサービスについて大体3ヶ月毎にパスワード変えてるけど、
パスワードを何らかのルールをもとに作ってたらあっさり割られてしまうもんなのかしら。
*/
Re: (スコア:0)
登録しているWebサービスとSPAMとの関係がいまいち…
ISPが警告しているのは、インセキュアなSMTP鯖を立てていて
それが悪用されている疑いがあるとか
SPAMbotとして動作するウィルスに感染している疑いがあるってことでは?
Webサービス(例えばGmail)のアカウントが乗っ取られていて悪用されていても
それはISPの感知するところでは無い気がするのです。
Re: (スコア:0)
ISPが警告しているのは、インセキュアなSMTP鯖を立てていて
それが悪用されている疑いがあるとか
SPAMbotとして動作するウィルスに感染している疑いがあるってことでは?
説明不足ですいません、後者ですね。
記憶してる限りの流れは以下のとおり。
ISPのメール送受信できなくなる
→ISPから封書で「お前のメアドでSPAM送られてるて聞いてメール止めたで、再開してほしけりゃウィルススキャンとパスワード変更して連絡せぇ」と通達
→そーいやだいぶパスワード変えてなかったな、と反省して対応・連絡、「次はないで」
Re: (スコア:0)
未クラック前のパスワードを変更することにはあまり意味ないっすよ
強固なパスワード→それより弱いパスワード に変更してしまった場合、変更しないほうがマシなわけで
Re: (スコア:0)
実践的にはほぼそうなんだけど、クラックされていない、という保証は、そのパスワードを使わないことでしか為し得ないわけで、漏洩した可能性が時間(というか利用回数)とともに増えると思えば、あまり意味ない、というほどのものでもないとは思う。
# とくにユーザが信用できない場合
でもまぁ、そこまでするならSecureIDとか使わせてくれよ、とは思うが。
Re: (スコア:0)
会社で仕事でIEEE担当者が登録するとすると、「このIDこのPWで
登録してます」って社内で共有してたりするせいもあるんじゃないでしょうか。
個人で趣味で会員登録している人はそんなに多くないと思うので。
オモチャパスワードで十分 (スコア:0, 既出)
まぁいちばんの問題は、システム側がパスワード暗号化してなかったんですかー、と言う所なんですけどね。
こういう事があるので、決済が絡まないようなslashdotやnikkeibpみたいなサイトだったら、「ieee2012」みたいなオモチャパスワードで十分ですよ。
slashdotみたいなサイトだったら、パスワードはslashhogeぐらいで十分です。
ここで変に凝ったパスワード作ったはいいけど、「それを決済サイトと使い回す」みたいな真似すると被害がデカくなります。
世間では流出メアド&パスワード拾ったら、とりあえずそれでAmazonかYahoo!かRakutenにログインできないか試してみる…みたいな連中もいる訳で。。
Re: (スコア:0)
まずメアドに乱数を入れます。
タレコみがあって助かった (スコア:0)
以前入会してたんですが転職してからは業務内容とも直接関係無くなってきたのでやめてました。
それでもやれ「また金を貢げよ」とか、やれ「新しい記事あるからおいでおいで」とかうざったいぐらい
メール攻撃があるのでIEEE関係のメールは全てSPAM扱いで無条件削除にしてたのでした。
・・・タレコみがなかったらそのまま放置となるところであったorz
早速ログインしてパスワードの変更だけはしておきました。
しつこく金払えよっていうのは全て無視してw
Re:タレコみがあって助かった (スコア:1)
送られてくるのは、いつものように「来年の会費も今払え」「新しいSpectrumが」「どこそこで学会が」とか、そればっかり。
IEEEにとって、Webサイトのアカウントなんて、その程度のものなんでしょうね。
Re: (スコア:0)
退会したのにログインできるものなの?
退会手続きをせずに会費を滞納していたら,金払えよメールが来るのは分かるのですが。
Re: (スコア:0)
ログインは出来ますよ。
非会員でもアカウント作ってStandard買うこと出来ますし。(当然高いけど)
漏洩経路が (スコア:0)
FTPだったそうで。
# それなんてMD*S?
Re:漏洩経路が (スコア:4, おもしろおかしい)
そうか、犯人は anonymous ユーザーだ!
Re: (スコア:0)
じゃあpasswordのところにメールアドレスを入れてるから犯人を捜すのは簡単だね!
Re: (スコア:0)
私が普段使用しているFTPのアカウントがハックされたのでしょうか...
パスワードをメールアドレスにしておけば安心だと思いましたが,今後は気をつけます。
Re: (スコア:0)
おもろい
素人はこれだから困る。 (スコア:0)
「ぬかったな士郎。本当の職人は数字を2進法で数えるものだ。正しくは「011011」だ!」
「ぐぬぬ。しかし、しかし何かがまだあるはずだ。」
「義父様、お間違えです。本物の職人は16進法で数えるのです。ですから士郎さんは間違っていません。」
以下略。
#0から数えることの是非はどうなった?
Re: (スコア:0)
まず、0 と 1 が隣接して並ぶキーボードを普及させないと。
Re: (スコア:0)
たいていのテンキーは0と1が上下に隣接して並んでると思います。
Re: (スコア:0)
テンキー。そういうものもあるのか・・・。
Re: (スコア:0)
有テンキー派と無テンキー派の間には深い溝がある
Re: (スコア:0)
なーに、四捨五入すればいいんじゃないか。
1-4 → 0、5-9→1 ってことで、
# あれ、0は?
どうでもいいサイトにはどうでもいいパスワード (スコア:0)
本イキのパスワードと区別して使うに決まってるじゃん
漏れてもいいとこにはどうでもいい、それこそ「123456」とか「IEEE」とか使うよね。