Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 42
ストーリー by headless
対抗 部門より
対抗 部門より
Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事、
The Registerの記事、
Softpediaの記事)。
Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。
Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。
こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。
なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。
Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。
Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。
こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。
なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。
運用によるけど (スコア:1)
つまるところ、パスワードの禁則が
* xx文字以下はNG
* 強度チェッカーでNG
* 辞書マッチでNG
+ 一般辞書単語
+ よくあるパスワード例 (new)
ってことだよね?
なので、そこまで目新しいとも思わないけど...
# クラック向けパスワード辞書とかあるし、それでのチェックしてる運用自体はなくはないと思う。
まあ、大手がやるという意味では新しいかな?
Twitterが、弱いパスワード弾く運用やってるらしいとは聞くけど...
M-FalconSky (暑いか寒い)
Re:運用によるけど (スコア:2, 興味深い)
こっちに書いたけど [security.srad.jp]違うよ、ぜんぜん違うよ。従来の規則のいくつかを廃止したところが画期的。素人と日本人はとにかくなんでもかんでも縛れば縛るほど強固になるとか考えがちだけど決してそんなことはない。
Re:運用によるけど (スコア:1)
すごい遅レスですが、ありがとうございます。
ただ、私もすべて適用されるとかは思ってなくて、こういう「よくあるチェックルール」が増えた(適用は今回のだけ+α)」という考えでしたので、まあそこは齟齬はない所です。
M-FalconSky (暑いか寒い)
Re:運用によるけど (スコア:1)
Re:運用によるけど (スコア:3, 参考になる)
マイクロソフトはそこまでバカじゃない。
マイクロソフトのパスワードに関するガイダンス [microsoft.com]
ぜひ全文読んでもらいたいがとりあえず見出しだけ抜き出すと
で、この後に初めて
と出てくる。さらに続き:
Re:運用によるけど (スコア:1)
がいいなぁ。
なにがいいって、Microsoftぐらいの規模の所が明言してくれたことがね。
> 1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
最近は試していないけど、outlook.comって最大16文字なんだよね。
もう少し増やしてほしい。
# yes, fly. no, fry.
Re: (スコア:0)
載せるべき最新の弱いパスワードの例を広く募集して、クラッカーの皆さんに手伝って貰うことで、クラック向けパスワード辞書をアップデートしている辺りが新しい?
アリがちなパスワードを排除するのがいいのか、パスワードリセットの頻度が増えるのがいいのか? (スコア:0)
たまにMicrosoft IDにログインすると、別メールアカウントの入力をうながされて、そこにPINが来るので面倒です。
Re: (スコア:0)
馬鹿に合わせたら世界は馬鹿になる
Re: (スコア:0)
生体認証使ったFIDOとか馬鹿でも使える手はあります。
あなたの入力したパスワード「ハルヒハルヒシャナの逢坂大河ルイス・フランソワーズ・ル・ブラン・ド・ラ・ヴァリエール鉄乙女に惣流アスカラングレー沢近愛理に三千院ナギ翠星石翠星石翠星石の真紅真紅の神楽坂明日菜明日菜柊かがみの桂ヒナギクの遠坂凛荻上」は当システムで100ユーザー以上が使っているので受付できません。
え、娘の名前なのに!!
Re:アリがちなパスワードを排除するのがいいのか、パスワードリセットの頻度が増えるのがいいのか? (スコア:1)
あなたのお嬢さん、時々改名しませんか?
古い名前と勘違いしてませんか?
#そんな長いパスワード使えるサービス、いくつあるんだ
Re: (スコア:0)
馬鹿に合わせなきゃいけないからフールプルーフ何て概念が生まれたんですよ
Re:アリがちなパスワードを排除するのがいいのか、パスワードリセットの頻度が増えるのがいいのか? (スコア:1)
馬鹿に合わせなきゃいけないからフールプルーフ何て概念が生まれたんですよ
馬鹿に合わせなきゃいけないってところが、問題なんですよね。
Re: (スコア:0)
アカウントをリンクさせとけよ
Re: (スコア:0)
たまに面倒になるのは仕方ない。毎日なら改善すべきと思うが。
何でもパスワード認証に拘る事はないのにと思う。
メール認証ならパスワードハックはされないし、トークン発行の履歴も明らかになる。
どうせなら (スコア:0)
リストと同じパスワードならブロックするようにすればいいのに
Re:どうせなら (スコア:1)
うちの会社「パスワードはユーザー名と同じなので大丈夫!」
Re: (スコア:0)
入力されたパスワードを文字列比較して、リストのどれかと完全一致したら弾くの?
ユーザ問わず?それ弊害の方が大きくない?
Re:どうせなら (スコア:1)
リストに載ってるようなパスワードを使う馬鹿にサービス使わせる方が弊害多いでしょ
多くのユーザーに共通するパスワードのリスト (スコア:0)
多くのユーザーに共通するパスワードのリストって何処かで買ってきたの?
Re:多くのユーザーに共通するパスワードのリスト (スコア:1)
MSのサイトは世界で2番めに攻撃が多いから、向こうから勝手に教えてくれる。
Re: (スコア:0)
MSの人がそういうサイトを運営してたとかいう話があったような。
マルチバイト文字をパスワードどして受け付ければいいんだよ (スコア:0)
パスワード文字列をUnicode対応にすればいいと思うんだが、なぜどこもやらないんだ。
Re:マルチバイト文字をパスワードどして受け付ければいいんだよ (スコア:1)
漢字変換すると、最新の候補にパスワードが残ってたり、変換を学習したりネットワーク共有したり、はては黙って送信する輩もいたりして。
去年あたりで農協がやってますよ (スコア:0)
「希望」というパスワードが使えたらしいです
但しクラッキングを受けると受け付けない場合もあるようで・・・
# ごめん、文字コードとして何を使ってるかまでは知らん
Re: (スコア:0)
今度はショルダーハッキングが多くなると思うんだよね。
入力面倒だよね。
まぁ、データベースは内部的には、今時、UTF-8/UTF-16だと思うけどね。
Re: (スコア:0)
常識的にはパスワードはアプリケーションでBcrypt等のハッシュをかけるので入力はただのバイト列だし出力はただの固定長ASCII(カラム的には将来のハッシュ変更を見越してVARCHAR(256)あたり)ですね。
ブラウザが<input type="password">にマルチバイト文字列を入れて送信してくれれば何もしなくても「うまく動く」サイトは多いんじゃなかろうかと。
# 少なくとも自分の作るサイトはそうだ
Re: (スコア:0)
自分も同じだけど、少数派なんだなーと思ってる。経験から。。。
Re: (スコア:0)
ちょっと逸れるけど
仕事でCAPTCHAを日本語化対応したことはあったな。
10年近く前だけど。
日本だけのサービスなら問題は一切ないし
寧ろ海外からのBOT勢を駆逐できるしで利点しかなかった。
「天上天下」みたいな感じに、少しだけ画像エフェクトかけて読みづらくするって感じのよくあるやつ。
でも日本人ならすぐわかるんだよな、「見れば」
BOTや外人だと難しいんだろうけど。
Re: (スコア:0)
世界的にはマルチバイト文字使わない人が多いじゃん。
英数字オンリーでコードだけUnicodeにしたって意味ねえ。
最終的に (スコア:0)
パスワードに代わるものを導入すればいい
指紋とかの生体認証も寝てる間(意識がない)に認証されそうだし個人的にグーグルのProject Abacusとか面白そうだけどな
Re: (スコア:0)
肛門認証は?
Re: (スコア:0)
そのうち内側で認証しだす奴とかいたりな。
逆に,ありそうにないパスワードといえば? (スコア:0)
I love Gates とか?
多くのユーザに共通するパスワード (スコア:0)
共通すると、なぜわかった。もしや、平で保存しておるのでは?
Re:多くのユーザに共通するパスワード (スコア:1)
Microsoftの場合はわかりませんが、流出したパスワードを統計処理しているケースもあるようです。
最もよく使われている危険なパスワードトップ25リスト、年度ごとにパスワードにも流行があることも明らかに - GIGAZINE [gigazine.net]
Re:多くのユーザに共通するパスワード (スコア:1)
別に平文で保存して無くても、自社DBに対して既知の簡単なパスワードリストを使って疑似攻撃かけることには問題は無かろう。人間がやるんじゃなくて、あくまでも自動的にやって自動的に通知とかじゃないといろいろと問題はあるだろうけど。
Re: (スコア:0)
ログインに失敗したパスワードのリストとか平文で保存して集めてるかもよ
Re: (スコア:0)
適切な権限を持った人間なら確認できるようになってるんでしょ。
あるいは流出したパスワードのリストを調べたとか。
Re: (スコア:0)
アカウント情報との紐づけが不可能な状態で、入力されたパスワードを平文で収集する事は何ら問題ないし、
平文保存自体常に問題がある訳でもない。
パスワードのセキュリティレベルを他の個人情報と同レベルとするポリシーの場合、
パスワードのみ特別扱いで不可逆の処理を加えるのはある意味おまじないでしかない。
そういうパスワード使う人は。。 (スコア:0)
・サービス使わなくなる
・バグだと騒ぐ
・そのパスワードでも安全を担保しろとキレる
どれか&複数該当なんだよねー。
Re: (スコア:0)
パスワードリスト攻撃が出始めた頃は
攻撃受けたサイトがぼろくそに叩かれててかわいそうだった。
他のサイトが流出させたり、
ゆるっゆるなパスワードを使いまわしてるユーザー抱えてただけなのに。