その摩耗からパスワードを推測できそうなテンキー 61
ストーリー by hylom
いやまて、トラップの可能性も…… 部門より
いやまて、トラップの可能性も…… 部門より
あるAnonymous Cowardのタレコミより。近年、「定期的にパスワードを変える」ことについての是非が議論されているが、定期的に変えるべきパスワードもある。たとえば職場の複数人で共有して利用しているパスワードのようなものは、パスワードを知っているメンバーがその職から外れた場合などに変更すべきなのだが、それ以外にも定期的にパスワードを変更すべき例としてらばQで紹介されているのが、「使い込まれすぎて特定のボタンだけが摩耗している」というテンキーだ(元ネタはRedditへの投稿)。
このテンキー、「1」「7」「9」「0」のボタンとその周囲だけがすり減っていて、これらのボタンが頻繁に押されていることが分かってしまう。もし暗証番号がこの4つのキーの組み合わせになっていた場合、その組み合わせは4桁の場合で24通り。5桁の場合でも96通りと、圧倒的に絞られてしまう。桁数が多ければ問題無いのかもしれないが……。
ボタンの磨耗よりも (スコア:2)
退社した人とかの対策のため、共有パスワードを変更した方がいいのは確かです。
ただボタンの磨耗に関しては、最近の製品は対策されているんじゃないかな。キー入力部分がデジタル表示になっていて、毎回場所がランダムに入れ替わる、とかね。
そういう製品を使ったのが10年以上前なので、対策はもっと前に取られているはずです。
Re: (スコア:0)
入退室管理用のセキュリティ関係の機材でも同様の問題は前から言われていたことですね
最新の製品はどうように対処しているのでしょう?
摩耗ではなく指紋対策ですが (スコア:1)
自宅の玄関を電子錠にしているのですが、ランダムキー+固定キー(暗証番号)の組み合わせで指で触れる位置が固定化しないようになっていますね。
①認証開始
②ランダムキー表示
③表示された箇所をすべてタッチ
④固定キーをタッチして解錠
Re: (スコア:0)
これは単に固定キー入れるだけより攻撃耐性上がってるのかなぁ?
キー位置が固定になってるシステムでキーの減り方を抑える方法だと思うけど、
最初に表示される番号がランダムならパスコードに使ってるキーが押される総数は常に高いのであまり効果ないような。
もし全部均一になるようにバスコードを避けた数字でランダム表示されるなら、
認証開始させると、使わない番号が分かって返って楽に開けられるってことに。
Re:摩耗ではなく指紋対策ですが (スコア:2, 参考になる)
上がっていると思いますよ。
実際に製品をあげたほうが分かりやすそうなので、、、
http://fuki4169.com/interlock/seihin.html [fuki4169.com]
タイトルに「摩耗ではなく」と書いたとおり、この製品のランダムキーの目的は、キーの減り方を均一にすることではなく、指紋、皮脂等の指が触った痕跡から推測されることを避けるためです。
なお、上には書きませんでしたが、Enter(実際は*)キーが必要なため、桁数の推測も難しくなってますね。
Re: (スコア:0)
押すキーの数が増えた分だけ推測しにくくなるってことだけど、あまり変わらんような
指紋のレベルで調べられることを前提にしてるなら、複数回同じキーを押した場合分かる可能性があるから
その場合絞り込めるかもよ。乱数が先に出るからキーコードと合わないように数字はだせないし。
>Enter(実際は*)キーが必要なため、桁数の推測も難しくなってますね。
これはなぜ? 常に必要ならないのと同じと思うけど。
Re:ボタンの磨耗よりも (スコア:1)
画像を見る限りは共有パスワードに思えます。
# 実は長い4進数の個人別パスワードだとか?
ハンターキャッツ (スコア:1)
ヒカル [wikipedia.org]がこの手のキーをスプリングのへたり具合を元に解除してたっけ。
らじゃったのだ
Re: (スコア:0)
松岡圭祐の千里眼シリーズの何処かでもテンキーに残った指の油から推測した記憶があります。
Re:ハンターキャッツ (スコア:1)
パクリコン [wikipedia.org]に出てきた女盗賊(猫のコスプレ)マンマ・ミーヤは
テンキーの一つ一つに別のニオイの香水をつけておいて
その香水の混ざり具合をかぎ分けて暗証番号を解いていたっけ。
らじゃったのだ
パスワードに使える文字を制限しよう! (スコア:1)
・使える文字は0と1のみ
・最低256文字以上
・連続した5文字が同じ文字であるパスワードは不可
0000111100001111....というパスワードばかりになったらどうしよう・・・
キーごとの出現頻度を等しくすれば (スコア:1)
すべてのキーを1回ずつ打つパスワードなら、摩耗具合も同じになるはず。
テンキーだと 10! = 3628800 通りのパターンがある。
ただ、途中の数桁でもショルダーハックされると強度がガタ落ちするけど…。
実はハニーポット (スコア:1)
新品の状態からすでにこれ、というネタ商品だったらよかった。
テンキー? (スコア:1)
テンキーって言ったって、フツーに業務に使ってれば、パスワードのキーだけ磨り減るなんてこないんじゃない、とおもったら、パスワードしか入力しないテンキーか。
キーボードのテンキーじゃなくて。そりゃーすり減っちゃうよね。
キーボード取り替えたほうが安い (スコア:0)
t/o t/o
Re:キーボード取り替えたほうが安い (スコア:2, 興味深い)
職場で使われてるやつはキーが液晶になってて、ランダムに表示されて摩耗による推測を防いでますけど
10年もパスワードが固定なんでそこに金をかける意味があったのかは疑問です
Re: (スコア:0)
位置固定だと既に摩耗等で押しても無反応になってたりして(笑)
# 摩耗の均一化には効果あり?
pattern認証 (スコア:0)
パスワードの代わりにドットをつないで模様描くやつがあるけど
あれもタッチパネルに指の跡が残ってダメですよね。
それさえなきゃ、暗証番号よりは強力でパスワードよりは入力しやすくて
悪くないと思うんですが。
Re:pattern認証 (スコア:1)
認証だけに使っているとまずいかもしれないですね
もっとも、この手の認証を行うことが多いのはタブレット端末なので、あまり問題になることが多いとは思いますが
Re:pattern認証 (スコア:1)
http://playingwithmodels.wordpress.com/2010/04/14/andorid_unlock_patterns/
Re: (スコア:0)
今は3*4になっているのだぜ。
3*3じゃ大したことは無いね。
Re: (スコア:0)
パターン認証もなぞった跡を消すオプションがあるのにもかかわらず表示されたままだったり、やたら簡単なパターンを設定していることが多いような気がします。何より怖いのが"それで大丈夫"と思ってしまうことですね。
Re: (スコア:0)
指のあとっていうか、明らかに脇などからの覗き見に対する脆弱性がかなり弱いと思うんですけどあれ。
画面隠していても真正面から手の動きで推測可能ですよね?
あれこそ、なんで数字(あるいは絵文字)のランダム表示で選んだ字の順になぞるのにしないのか訳わからん
Re:pattern認証 (スコア:1)
スマホやタブレットのアレはそもそも操作を人前で見られまくりなので
「パスワードの代わり」にはとてもできなくて、
「操作ロックを外す手順を自分好みに変えられる」というものでしかないですね。
(ロックと認証とを別々にかけられるのは分かってます念のため)
#顔認証とか声認証とかもあるけど「本人でも通れないかも」という心配があって設定できない…
Re:pattern認証 (スコア:2)
Androidの顔認証はあんまセキュリティ高くないよって警告された気がします。その上で代わりの認証手段(パターンとかPINとか)が要求されます。
# 端末を置いた時に指の跡を見てパターンロックを勝手に開けようとした奴がいたものの、逆になぞってて入れなかったという体験があります
Re: (スコア:0)
一応自分は画面ロック解除に加え各アプリを起動するのにパスコードロックを要求するようにしていますが、やはり覗き見防止のフィルターを貼ったほうがいいと思いますね。以前はそこまでしなくても……と思っていたのですが、電車の中でそばに居た人がパターンロックを解除するところを見てからはそう思わざるを得なくなりました。
Re: (スコア:0)
Androidのパターンロックで五芒星もどきを書くというネタを考えたことがあります。
桂馬飛びパターンで、たとえば左上→右中央→左下→上中央→右下→左中央→右上→下中央。開始位置を変えて8通り、回転方向を変えてさらに8通り。
その上、中央に引っ掛からないように書くのがもう大変で大変で、考えた当人も二度ミスなく書けないので登録できないwwww
Re:pattern認証 (スコア:1)
なってれば解決出来た問題だよね・・・
現状の円は縦横斜めどの方向もポイントの間隔に対して十分な隙間が空いてない感じがする。
Re: (スコア:0)
確かパターンロックなら9つ並んでいるパターンの外側にスペースがありましたよね?
そこを上手く使えばどうでしょう?
逆手にとって偽装 (スコア:0)
逆に最初から摩耗したキーパッドを使ってパスコードは違う値で使えば
攻撃者を攪乱できるかもね
Re: (スコア:0)
年に1回パスワードを変えるとかではく、同じ認証装置を使っている者
同士でテンキーを入換えるサービスを行えば良いんですね。
#タイヤのローテーションか?
そもそも論が出てないので (スコア:0)
この時点で間違ってるじゃないか。
その対策への定期的にパスワード変更なんてのはバッドノウハウでしかないだろう。
Re:そもそも論が出てないので (スコア:1)
パスワードを共用するな、と言いたいのかもしれないけど
建屋内の部屋に入る時のドアロックとか
ハンコとか入ってる金庫のロックとかなら共有はアリですよね。……ですよね?(自信なさげ
(というか個人ごとにナンバーを持たせるのが難しい)
で、退職者や覗きへの対抗策の一つが定期的なナンバーの変更、と。
もちろんナンバーロック以外にもっと良い方法があればそれでいいんですけども。
退職者が出たタイミングで変更 (スコア:0)
で、退職者や覗きへの対抗策の一つが定期的なナンバーの変更、と。
覗きはともかく、退職者への対抗策なら、退職者が出たタイミングでやるべきでは?
定期的にやる必要なくね?
# 外資系がやるという、当日いきなりダンボール渡されて解雇とかがそんな感じだと思われる。
Re:退職者が出たタイミングで変更 (スコア:1)
まったくもって仰るとおりです。考慮が足りてなかった。ご指摘感謝です。
Re: (スコア:0)
覗きはともかく、退職者への対抗策なら、退職者が出たタイミングでやるべきでは?
定期的にやる必要なくね?
ですよね。
うちは最長3ヶ月で変更する(退職者等が出た場合もその日に変える)ルールだけど、3ヶ月間1人も退職者・離任者が出ないなんてまずないし。
Re: (スコア:0)
会社ならパスワードの共用は一番に避けるべきリスクじゃないのか?
現代において、それが出来ない会社って、これから厳しいな。
部屋に共通パスワードなんて無駄にコスト消費してるだけで、
今時はカードキーにして、入退室記録も同時に取ってるんじゃないの。
監視カメラまでは出来なくてもさ。
金庫も同じで、アクセス記録と、個人識別も一緒にしないと意味が無いだろう。
いつ不正に扱われたか分からないんじゃ、そもそも金庫に入れる意味なくない?
番号知ってる人しか使えない=番号知ってる人は誰でも使って良いって事にならない?
Re:そもそも論が出てないので (スコア:1)
#入場ゲートに他人の認証で入るCMでも似たような話があったなあ。
>現代において、それが出来ない会社って、これから厳しいな。
なんというか、正論なので正面から反論はできませんが、現実として共用のナンバーを使う錠というのはそこかしこにあったりするので、現状を踏まえて、ということで。
金があってビルをイチから建て直す機会でもあればやると思うんですけどね。
「いま一応の鍵がかかってる場所」を「もっと良い鍵にしましょう!」という要求は上からも下からもなかなか上がらないし通らないということで。
>今時はカードキーにして、入退室記録も同時に取ってるんじゃないの。
そういう部屋もありますけど、そうじゃない部屋も多数あります。
更衣室の入り口は女性しか知らないナンバーで、更衣室の中のロッカーは個人ごとに別のナンバーで、というケースとか。
盗難事件とかあったんだからやってもいいとは思うけど。
「いまフリーパスだから鍵つけろ」ならともかく、「昔ナンバーロックで作っちゃった部屋」を「カード認証で入退室記録を残す部屋」に替えろ、という要求はよほどのことでもないと上がりませんね。
>番号知ってる人しか使えない=番号知ってる人は誰でも使って良いって事にならない?
まさにその「番号知ってる人は誰でも使って良い金庫」があるのですよ。
「社外秘」と「部外秘」と「あなたしか見ちゃダメ!」の違いみたいなもので。
例えば掃除の人や宅配便の人が出入りできる職場で、社員は誰がアクセスしても良いが部外者にはアクセスして欲しくない箱、というのがあったり。
(掃除はまだしも宅配を中に入れるな、と言われれば返す言葉もありませんが、現状それで動いてる職場に文句を言うのは難しい。昔は保険勧誘員すらホイホイ入ってきてた……)
「特定部署の人なら誰でも使える書庫の鍵を入れておく箱」とか(個人的には、単に置き場所をはっきりさせてるだけでセキュリティの意味は皆無だと思いますが一応)。
あと保管時に火災など災害対策のために入れるもので、盗難対策はあまり考慮してない(部屋の鍵とかでカバーする)金庫のナンバーとかね。
モノへのアクセスの段階に「ビルの入り口」「職場の入り口」「部屋の入り口」「箱の鍵」くらいの段階があるので、より手前の方で利用者が絞り込めていればそれ以降は共用パスワードでもアリ、という考え方自体はアリだと思います。モノの重要性次第でね。
現実のケースでその「より手前」が大丈夫か、という点についてはコメントを差し控えます(苦笑)。
#……とあるIDカードで開くドア、今は単に「朝最初に鍵を開けた人」と「夜最後に閉めた人」しか記録されない。日中開きっぱなし。
#「最後に閉め忘れた人を怒る」(ビルから出た記録は別途残るので)以外の用途がないシステムって何の意味があるんだ……。
Re: (スコア:0)
共用PCなら珍しくは無いな
「俺のパスワードはASDをよくつかうに違いない」 (スコア:0)
Sキーが一番削れてとてもえぐれている
A/Dキーも半分文字が消えている
WキーとN/Kキーも文字がかすれている
#単にネトゲのせいで、移動に使うWASDと
#チャット時に爪の当たりやすい場所が削れているだけ
Re:「俺のパスワードはASDをよくつかうに違いない」 (スコア:1)
検索によく使うからか。
Re: (スコア:0)
Ex-Sか
Re: (スコア:0)
: とwとqの消耗が激しい
Re:「俺のパスワードはASDをよくつかうに違いない」 (スコア:1)
METAキーの損耗が激しい人に喧嘩を仕掛けることができますか? わたしはびびりなので絶対できません。
Re:「俺のパスワードはASDをよくつかうに違いない」 (スコア:2)
個人的感想だが、Ctrlの方が消耗している気がする。
Re:「俺のパスワードはASDをよくつかうに違いない」 (スコア:1)
『動物のお医者さん』での国家試験エピソード、高屋敷助教授がモーちゃん相手に磨り減った体毛から場所を容易に言い当てられた実技試験の問題みたいに、昔の国家試験に合格した年長者が嫉妬されるような話にはしないでくださいねっ!
Re:「俺のパスワードはASDをよくつかうに違いない」 (スコア:1)
あれ?馬だったっけ?よく覚えていないや。
通りの数 (スコア:0)
> もし暗証番号がこの4つのキーの組み合わせになっていた場合、その組み合わせは4桁の場合で24通り。5桁の場合でも96通りと、圧倒的に絞られてしまう。
5桁の場合は240通りの間違いですよね?
Re:通りの数 (スコア:1)
ですね。リンク元にもちゃんと240通りって書いてあるのに。
(単に24通りに1桁分かけてしまったのかな)
イミフ (スコア:0)
> たとえば職場の複数人で共有して利用しているパスワードのようなものは、パスワードを知っているメンバーがその職から外れた場合などに変更すべきなのだが、
それ定期的じゃないじゃん。むしろ定期的にしか変更していないとメンバーが外れてから次の変更まで危険になるということで、定期的変更に反対する論拠にしか見えんのだが。