パスワードを忘れた? アカウント作成
12846139 story
セキュリティ

複数のWebサービスで共通のパスワードを使用していないか調べるツール 21

ストーリー by hylom
これをネットサービス化して不特定多数のパスワードをゲットしよう 部門より
headless曰く、

複数のWebサービスで共通のパスワードを使用する危険性は以前から指摘されているが、このような共通のパスワードを使用しているサービスを調べるコマンドラインツール「shard」がGitHubで公開された(GitHub — shardArs Technica、、Register)。

shardはユーザー名とパスワードを指定して実行することで、FacebookやLinkedIn、Reddit、Twitter、Instagramで共通の認証情報を使用していないかどうかを確認できる。認証情報の書かれたファイルを指定することで、複数の認証情報をまとめて確認することも可能だ。

作者のPhilip O'Keefe氏は多くのWebサービスで共通のパスワードを使用していたが、LinkedInから流出したパスワードの中に自分のパスワードが含まれていることを確認したためshardを開発したという。

shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。調査先のサイトはモジュール化されているため、モジュールを作成することで任意のサイトを追加できる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nemui4 (20313) on 2016年07月15日 17時04分 (#3048062) 日記

    >shardはユーザー名とパスワードを指定して実行することで(略

    この2つの情報を入れて実行したくないなぁ。
    自分で共通のパスワードを入れているなら、自分ではわかるはずだし。
    わかっている他人(有名人)のIDと推測できるパスワードをジャカスカ入れて特定に使われたりしそうな予感。

    >shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。

    この先どんな穴が待ち受けていることやら。

    • by miyuri (33181) on 2016年07月15日 17時39分 (#3048087) 日記

      ふつーに、漏洩したIDとパスワードのリストを突っ込んで回すだけな気がするする。
      自分が使っているのなんて、試さない。

      親コメント
    • by Anonymous Coward

      同じパスワードを設定しているか不安なら付け直せばいいだけのように思うけどね。

      >この先どんな穴が待ち受けていることやら。
      こんなもの信用して、ツール(もしくはその模造品)がユーザー名とパスワードを収集するのが一番怖い。

      • by Anonymous Coward on 2016年07月15日 18時03分 (#3048101)

        というかパスワードを使いまわしているかどうかなんて普通確認するまでもなく自分で把握しているだろうと。
        このツール使って確認しないとわからないんじゃパスワードをちゃんと管理していないという使いまわし云々以前のところに問題があるだろうと。

        親コメント
        • by Anonymous Coward

          パスワードを使いまわしてる奴が作ったツールをパスワードを使いまわしてるかどうかすら把握できない奴が使うツール

        • by Anonymous Coward

          ちゃんとパスワード管理してるなんて意識高いですね。
          でもそういう人はあんまり数多くないと思うよ。

          今まで使いまわしてきたけどやめたい、自分でも覚えてない人が使えばいいのでは。

          • by Anonymous Coward

            自分で覚えてない時点でこのツール使えないわけだが

          • by Anonymous Coward

            あなたの言うパスワード管理してない人って自分の作ったアカウントのパスワードを覚えてない(記録もしてない)人のこと?
            もうそのサービスまともに使えないじゃん。

            使いまわしてきたの分かってるならこのツール使うまでも無い。

            • by Anonymous Coward

              恐ろしい事に、そーゆー人は実在する。

              あっちこっちにアカウント作り散らして一切管理していない。何処にアカウント持ってるかも憶えてないし、当然サービスも使えない。

              本人は使えなくても困らないんだけど、そのままでは万一の時に他人に悪用されて周囲に迷惑が及ぶかも知れない。

              それらを洗い出すツールやサービスの需要は確実に有ると思う。これからの高齢化社会で、もっと増えるだろう。

              だからって、自分のパスワードを預けなればならないシロモノを使うのは如何かと思うのですが…

              • by Anonymous Coward

                こういうレベルじゃないと「意識高い」とか言われてしまうのは度し難いですね…

              • by Anonymous Coward

                世の中には、我々が想定しているのよりもさらに下のレ
                ベルが存在するということか
                果てしない物語

  • by Anonymous Coward on 2016年07月15日 17時50分 (#3048094)

    どこにでも転がってそうなログイン試行スクリプトにしか見えない……

  • by miyuri (33181) on 2016年07月15日 18時00分 (#3048099) 日記

    『sradはユーザー名とパスワードを指定して実行することで、』
    みたいな。

  • by Anonymous Coward on 2016年07月15日 23時44分 (#3048286)

    流出したユーザーデータの中に、自分のメールアドレスやIDが含まれていないかチェックする [gigazine.net]
    サービスHave I been pwned? [haveibeenpwned.com]で、調べてみたら、
    登録した覚えのないAdobeのサービスで自分のアカウント情報が漏えいしていると言ってきた。

    なんだこりゃ?
    過去の自分のメールをさかのぼって検索してみても、Adobeに登録したなんて記録はない。
    うーむ。ミステリー。

    ちなみに、"';--have i been pwned?"は、それ自体メールアドレス収集を目的としているのでは?
    と疑う向きもあるので、御利用にはそういうリスクがあることを理解し、御自身の責任の上でどうぞ。

    • by Anonymous Coward

      体験版等を試した記憶はありませんか?
      ダウンロードするのにID必須です
      もしくはCS2無料祭りの時とか?
      これもID必須だったはずです

      • by Anonymous Coward

        >CS2無料祭り
        割れ自慢お疲れ様です

      • by Anonymous Coward

        う~む、そういうのやった覚えがないなぁ。
        もしやって忘れてしまっていたのだとしても、アカウント作る際に絶対メールが届いていると思うんだよね。
        それらしいのが見当たらなかったし。

  • by Anonymous Coward on 2016年07月15日 17時45分 (#3048090)

    ブロックしづらいなこれ。。
    ヤバくね?

    • by Anonymous Coward

      ログイン認証にCAPTCHAでも組み合わせりゃいいんじゃないの?

  • by Anonymous Coward on 2016年07月16日 9時40分 (#3048412)

    なにがなんでもこのツールには(攻撃者側ではない側でも)意義があるんだってことにしたい奴が
    大量にACで暴れてるけどさ、
    (攻撃者側ではない側で)このツールを使おうとするような人の存在自体がそもそも問題だって気づけよ

    アカウント名とパスワードも使いまわし、さらにどこに登録したかも覚えてないような人?
    まずそういう人には「こういうパスワードを入力させるツールは使うな」ってことを徹底的に叩きこむのが先
    交通ルールもしらない奴が路上運転してるようなもんなんだから周囲も止めてやれよ

    そういう人間としての当たり前の感覚をまず身につけろ、それまでスラドには来ないでくれ
    迷惑だから

    各サイトに対しては、アカウント名のみ指定で手続きができる「アカウントのリカバリを試行する」のが無難だろうね

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...