パスワードを忘れた? アカウント作成
12794558 story
マイクロソフト

Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 42

ストーリー by headless
対抗 部門より
Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事The Registerの記事Softpediaの記事)。

Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。

Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。

こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。

なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • つまるところ、パスワードの禁則が
    * xx文字以下はNG
    * 強度チェッカーでNG
    * 辞書マッチでNG
        + 一般辞書単語
        + よくあるパスワード例 (new)
    ってことだよね?

    なので、そこまで目新しいとも思わないけど...
    # クラック向けパスワード辞書とかあるし、それでのチェックしてる運用自体はなくはないと思う。

    まあ、大手がやるという意味では新しいかな?
    Twitterが、弱いパスワード弾く運用やってるらしいとは聞くけど...

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward on 2016年05月29日 14時58分 (#3020595)

      こっちに書いたけど [security.srad.jp]違うよ、ぜんぜん違うよ。従来の規則のいくつかを廃止したところが画期的。素人と日本人はとにかくなんでもかんでも縛れば縛るほど強固になるとか考えがちだけど決してそんなことはない。

      親コメント
    • by segawa-akira (7153) on 2016年05月29日 13時35分 (#3020554)
      このまま規則がどんどん厳しくなって、辞書にない文字列で100文字以上とか、それをログインする毎に更新とか、3回入力ミスするとアカウント抹消とか、もう実用できないレベルになっちゃうんじゃないのかな。 #その前に、頭のいい人が別の方法を考えるんだろうけどね
      親コメント
      • by Anonymous Coward on 2016年05月29日 14時54分 (#3020593)

        マイクロソフトはそこまでバカじゃない。
        マイクロソフトのパスワードに関するガイダンス [microsoft.com]
        ぜひ全文読んでもらいたいがとりあえず見出しだけ抜き出すと

        1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
        2. 文字の組み合わせ (複雑さ) に関する要件を廃止する
        3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする

        で、この後に初めて

        4. わかりやすい一般的なパスワード使うことを禁止する

        と出てくる。さらに続き:

        5. 業務アカウントのパスワードを社外他のアカウントに使いまわさないようユーザーを教育する
        6. 多要素認証を必ず利用するようにする
        7. リスクベース多要素認証の方法を検討する

        親コメント
        • > 3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする
          がいいなぁ。
          なにがいいって、Microsoftぐらいの規模の所が明言してくれたことがね。

          > 1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
          最近は試していないけど、outlook.comって最大16文字なんだよね。
          もう少し増やしてほしい。
          --
          # yes, fly. no, fry.
          親コメント
    • by Anonymous Coward

      載せるべき最新の弱いパスワードの例を広く募集して、クラッカーの皆さんに手伝って貰うことで、クラック向けパスワード辞書をアップデートしている辺りが新しい?

  • たまにMicrosoft IDにログインすると、別メールアカウントの入力をうながされて、そこにPINが来るので面倒です。

  • by Anonymous Coward on 2016年05月28日 17時22分 (#3020300)

    リストと同じパスワードならブロックするようにすればいいのに

    • by Anonymous Coward on 2016年05月28日 17時59分 (#3020312)

      うちの会社「パスワードはユーザー名と同じなので大丈夫!」

      親コメント
    • by Anonymous Coward

      入力されたパスワードを文字列比較して、リストのどれかと完全一致したら弾くの?
      ユーザ問わず?それ弊害の方が大きくない?

  • by Anonymous Coward on 2016年05月28日 21時17分 (#3020375)

    多くのユーザーに共通するパスワードのリストって何処かで買ってきたの?

  • パスワード文字列をUnicode対応にすればいいと思うんだが、なぜどこもやらないんだ。

    • 漢字変換すると、最新の候補にパスワードが残ってたり、変換を学習したりネットワーク共有したり、はては黙って送信する輩もいたりして。

      親コメント
    • 「希望」というパスワードが使えたらしいです
      但しクラッキングを受けると受け付けない場合もあるようで・・・

      # ごめん、文字コードとして何を使ってるかまでは知らん

    • by Anonymous Coward

      今度はショルダーハッキングが多くなると思うんだよね。
      入力面倒だよね。

      まぁ、データベースは内部的には、今時、UTF-8/UTF-16だと思うけどね。

      • by Anonymous Coward

        常識的にはパスワードはアプリケーションでBcrypt等のハッシュをかけるので入力はただのバイト列だし出力はただの固定長ASCII(カラム的には将来のハッシュ変更を見越してVARCHAR(256)あたり)ですね。
        ブラウザが<input type="password">にマルチバイト文字列を入れて送信してくれれば何もしなくても「うまく動く」サイトは多いんじゃなかろうかと。
        # 少なくとも自分の作るサイトはそうだ

        • by Anonymous Coward

          自分も同じだけど、少数派なんだなーと思ってる。経験から。。。

    • by Anonymous Coward

      ちょっと逸れるけど
      仕事でCAPTCHAを日本語化対応したことはあったな。
      10年近く前だけど。
      日本だけのサービスなら問題は一切ないし
      寧ろ海外からのBOT勢を駆逐できるしで利点しかなかった。
      「天上天下」みたいな感じに、少しだけ画像エフェクトかけて読みづらくするって感じのよくあるやつ。
      でも日本人ならすぐわかるんだよな、「見れば」
      BOTや外人だと難しいんだろうけど。

    • by Anonymous Coward

      世界的にはマルチバイト文字使わない人が多いじゃん。
      英数字オンリーでコードだけUnicodeにしたって意味ねえ。

  • by Anonymous Coward on 2016年05月29日 0時09分 (#3020426)

    パスワードに代わるものを導入すればいい
    指紋とかの生体認証も寝てる間(意識がない)に認証されそうだし個人的にグーグルのProject Abacusとか面白そうだけどな

    • by Anonymous Coward

      肛門認証は?

      • by Anonymous Coward

        そのうち内側で認証しだす奴とかいたりな。

  • by Anonymous Coward on 2016年05月29日 1時45分 (#3020459)

    I love Gates とか?

  • by Anonymous Coward on 2016年05月29日 7時08分 (#3020489)

    共通すると、なぜわかった。もしや、平で保存しておるのでは?

  • by Anonymous Coward on 2016年05月29日 8時14分 (#3020495)

    ・サービス使わなくなる
    ・バグだと騒ぐ
    ・そのパスワードでも安全を担保しろとキレる

    どれか&複数該当なんだよねー。

    • by Anonymous Coward

      パスワードリスト攻撃が出始めた頃は
      攻撃受けたサイトがぼろくそに叩かれててかわいそうだった。
      他のサイトが流出させたり、
      ゆるっゆるなパスワードを使いまわしてるユーザー抱えてただけなのに。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...