パスワードを忘れた? アカウント作成
13191929 story
情報漏洩

再利用や共有、パターンなどが複雑なパスワードを台無しにする 46

ストーリー by hylom
間違った使用文字制限は止めて欲しい 部門より
headless 曰く、

過去にLinkedInから流出したパスワードについてセキュリティ企業Preemptが調査したところ、約35%にあたる63,588,381件が既にパスワードクラック用の辞書に含まれるものだったそうだ(PreemptのブログBetaNews)。

Preemptでは具体的な流出時期などを明記していないが、件数からみて2012年に発生したLinkedInの情報流出に伴って取得され、昨年5月に1億6,700万件が販売されていると報じられたアカウント情報のようだ。

パスワードクラック用の辞書に載っているのであれば、パスワードの複雑さは意味をなさない。パスワードを再利用する人も多いため、過去に流出したパスワードを再度設定してしまう可能性もある。組織内のシステムではパスワードの有効期限が無効化されていることも多く、複数のユーザーがパスワードを共有したり、そのパスワードを外部サービスに設定したりすることで、パスワードが流出する可能性や、既に流出しているパスワードを使用する可能性が増す。

また、パスワードには大文字小文字の英字と記号、数字(ULSD)を組み合わせることが推奨されるが、大文字から始めて数字で終わるといったパターンが多くのパスワードで使われているという。個人的なデータや日常的に使われる単語を含める人も多い。そのため、企業内のパスワードの大半は、上位100パターンでクラックできるものが多いそうだ。

Preemptの調査によれば、特にセキュリティに注力している組織を除き、90%以上の組織が8桁よりも長いパスワードを要求せず、10桁以内のパスワードが多く使われているとのこと。標準的なハードウェアでULSDを組み合わせた10桁のパスワードをクラックするのに要する時間は、よくあるパターンを使ったものでは1週間以内なのに対し、よくあるパターンを避けたものでは1か月近くかかるとのことだ。

  • by nemui4 (20313) on 2017年03月14日 14時08分 (#3176253) 日記

    複雑なパスワードポリシーや頻繁な変更が要求されすぎて結果的にパターン化していそうな予感。
    パスワード一回での単純なセキュリティ自体が限界なのか。

    #アナグラムや文字置換とかもパターン化しやすい、というかパターン化しないと忘れる(in my case)

    ここに返信
    • by Anonymous Coward

      予感じゃなくてそうなってるという話なのでは。

  • by Anonymous Coward on 2017年03月14日 14時22分 (#3176262)

    今多いのはトークンを使ったワンタイムパスワードの二段階認証。
    パスワードは使い回しでも、トークンは使いまわせないからセキュリティが上がる。

    問題点は会社によってトークンが別(なんとかして)なことと、物理なのでトークンをなくす危険があること。
    両方共スマホアプリをトークンにすることでかなり改善できるが、今度はスマホなくすと被害がでかすぎる。

    難しいねえ。

    ここに返信
  • by the.ACount (31144) on 2017年03月15日 12時51分 (#3176913)

    どういうパターンが多いのかという情報がなきゃ避ける事も出来ん。
    ググっても出ないんじゃどうしようもない。

    --
    the.ACount
    ここに返信
  • by Anonymous Coward on 2017年03月14日 13時55分 (#3176242)

    そんなこと言ったって、先進国どころか発展途上国ですら一般ユーザーがオンラインで複数のサービスを使用するのなんて普遍的なことになってきてる世の中で
    人間の覚えられるパスワード(特に複雑なもの)には上限があって、いちいち覚えきれない以上、共通化せざるを得ないのは仕方ないと思う

    確かに使い回しが脆弱になるのは事実だろうが、だから使い回しはやめよう、でもパスワードの強度はしっかりね、なんて言われたって一般人には実践不可能
    これってもうオンラインサービスという存在と、それを利用する人間の限界に依存するものだからどうしようもない
    「交通事故が増えてきたから車に轢かれても死なない人間になろう」とか「交通事故が増えてきたから自動車は一切合切禁止しよう」とか今更無理な極論でしょ?ってのと同じ話

    パスワード入力の補助ツールを使えば何とかなるけど、そういったツールが普及しはじめると、今度は脆弱性や悪意があった時のリスクが跳ね上がるだけじゃね?
    「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな

    読み取り装置が一般に普及できる程度のコストで、誤検知率が極端に低い生体認証を開発するぐらいしかないと思うなぁ(逆にそれが作れたら一生遊んで暮らせるぐらいの金は入りそうなものだが)

    ここに返信
    • by Anonymous Coward

      そうですね。iPhoneには指紋認証がついたのにサードパーティの
      アプリではあまり使われていないようですが、なんなんでしょうね?
      ユーザに負担を強いる前に、サービス提供側ができることを
      全部やっているのか、と思います。

      • by 90 (35300) on 2017年03月14日 22時15分 (#3176578) 日記

        携帯の指紋認証はそのデバイスに以前に入力された指紋との比較結果を返すようになっているので、引継ぎにはやっぱりIDとパスワードが要るんじゃないでしょうか。

      • by Anonymous Coward on 2017年03月14日 14時14分 (#3176257)

        指紋認証は危険? スマホで指紋認証を使ってはいけない3つの理由
        http://blog.avg.co.jp/2016/08/3reasons-not-to-use-fingerauth/ [avg.co.jp]

        3番が意外な盲点。
        指紋採取とか取り調べでは当たり前なので、パスワードでは強制アンロックできないスマホが、指紋認証可にしてるとあっさりアンロックされる危険。

        つまり容易に使える生体認証だからこその問題点。

      • by Anonymous Coward

        指紋認証が必要とされるアプリが少ないからでは。
        金融系の取引ができるアプリは使うべきだけど、それ以外に指紋認証が必要なアプリって何だろう?
        自分が使ってるパスワード管理アプリはちゃんと対応してる。

        それよりもっとアレなのは、iOSには、登録はSafariでだけど、ウェブ上でパスワードを生成してOS標準のストレージに暗号化して保存する機能(KeyChain)がある。
        他のウェブブラウザなんかでも同様の機能はあるけど基本的にウェブ画面だけ。iOSだとアプリからでもそのパスワードを呼び出せる(Androidでも同様かな?)。けど、そのAPI使ってるアプリは極めて稀。
        だから、現状だとブラウザのパスワード管理はブラウザ内でしか使えない、という残念仕様になってしまってる。
        この辺もう少しきっちりやったら、本当にパスワードを覚える必要性は下がるんだけどな。

    • by Anonymous Coward

      > 「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな

      こういう半可通がセキュリティリスクになる。

      • by Anonymous Coward

        「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたとき」
        に大丈夫なパスワード管理ツールというのをご存じなのですか?
        後学のためにご教示ください。

        • by 90 (35300) on 2017年03月14日 15時29分 (#3176312) 日記

          親コメは引っこ抜かれることを防止するためにツールを使わず、弱いパスワードを使い回すという方法を取ってますよね。
          使い回すことによるリスクと引っこ抜かれるリスクのうち、後者を重くみることを元ACさんは「半可通」と言っているのでしょう。

          管理ツールから抜かれるケースより、不適切なパスワードが破られるケースの方がより耳慣れているとは思います。
          一つの弱いパスワードを使い回しても、平文パスワードを一つのパスワードで暗号化しても、破るのに最低限必要な資源は同じかもしれませんし。

          • by Anonymous Coward

            使い回されるリスクは特定のサービス(まあ複数が重複することはあるけど)にしか影響しないけど、漏洩するリスクは使用してる全部のサービスの情報が纏めて引っこ抜かれるから、比較するのは難しい。

            あと管理ツールそのものが「まだ普及してないから」リスクが顕在化してないだけってのはある。
            もうだいぶ昔の話だが「Windowsはウィルスに感染しやすい、Macは安全」みたいなネタが人口に膾炙していた時期もあったわけだし(システム的に安全だったわけではなく、単に母数が少なかったからクラッカーの攻撃対象にされにくかっただけなのに)

            • by 90 (35300) on 2017年03月14日 22時29分 (#3176585) 日記

              使い回しているパスワードが割られたら、使い回し先のサービスがすべて割られた状態になりますよね。
              それではランダムなパスワードを生成して共通の対称暗号で暗号化している状態とほぼ同じです。

              「一気にまとめて引っこ抜かれる」という"危険感"は管理ツールの方が高く思えるかもしれませんが、
              それは実際に引っこ抜かれるリスクを評価しなければ分かりませんし、脆弱なパスワードや使い回しの
              パスワードを設定している場合に比べて、少なくとも直ちに危険とは言えないですよ。

              だったら、管理ツールに全部入れてサービスには完全にランダムなパスワードを設定したっていいんです。
              少なくとも、覚えられる程度に複雑さを限定してしまうことの危険性はなくすことができます。

            • by Anonymous Coward

              うん?「使い回し」の意味わかってます?
              全部のサービスで同じユーザID、パスワードを使うってことですよ。
              使ってるサービスの内どっか一箇所がお漏らししたら使ってる全部のサービスのユーザID、パスワードが自動的にバレるってことです。
              まあ攻撃者が知らんようなマイナーサイトは無事でしょうけども。

              • by Anonymous Coward

                パスワードはともかく、ユーザーIDって全部のサービスで同じものが使える(取れる)のか?
                常識的に考えてユーザーIDって一意だから、新しいサービスが出るたびに片っ端からID取ってまわる奴でもない限り、同じIDを使い回すのって簡単じゃないと思うが。

                まあメアドがユーザーIDになってるってシステムなら少なからずあるけど、せいぜいその程度じゃね?

              • by Anonymous Coward

                WEB上のサービスだとメアドをIDにするサービス多数。
                その気になれば結構なサービスでIDとパスワードを同じに出来るよ。

                後、昨今流行りの外部サービスによる認証でも結果的に同じ。
                一か所抜けたら(って認証は一か所だけなんだけど)他もアクセス可能になっちまう。

              • by 90 (35300) on 2017年03月14日 23時54分 (#3176641) 日記

                私が使ってるだけでも、メールアドレスをIDに使うサービスは40件くらいありますね。ユーザIDを強制するところはその半分もないです。
                ユーザIDは公開されるから、という理由でログインにはメールアドレスしか使えないサービスもありますね。

                メモ帳に書いてた頃はこのうちの10以上で同じパスワードを使い回していたものです。漏れていたらどうなっていたでしょうか。はてさて。

              • by Anonymous Coward

                サイト毎にユーザーID変えてたら結局サイト毎のパスワードが覚えられないってのと同じ問題がユーザーIDについて起こるんじゃねーの?

              • by Anonymous Coward

                以前はユーザーIDだったのにメールアドレスに変更してるところも結構あるよね

        • by Anonymous Coward

          あ、知ってる。
          どんなツールをあげても難癖つけてくるパターンだ。

          • by Anonymous Coward

            具体例を挙げられないくせに他人を半可通とか言っちゃってる半可通が開き直ってる典型ですね。

        • by Anonymous Coward

          ミルパス [kingjim.co.jp]なら適切に管理すれば大丈夫。
          #ツールの概念が違う?

          • by Anonymous Coward

            それにUSB接続した時、むりやり外部からデータ読み取れる脆弱性やバックドアがついてないことが確認できるんですかね?あるいは公衆Wifiに勝手に繋いでデータ送信してないことは確認できるんですか?

            キングジムなら割と大丈夫だろうとは思うけど、製造工場がチョンボやらかしてないとも限らないし、キングジム直販でもない限りはパチ物を掴まされるリスクもあるんですが。

            自分の登録してるオンラインサイトのログイン情報、全部預けられるだけの信頼性はどこにあるんでしょうかね、って話かと。

            • by Anonymous Coward

              だから適切に管理すればと言ったのに。
              USB接続はパスワード管理のためだから独立した専用端末なら大丈夫。
              公衆wifiはパスワード入力なんかが必要だし、それでも不安なら電磁シールドするなりすればいい。
              ミルパス自体には電波を放出しなければならない機能はない。
              パチもののリスクについても同様。そもそもの要件(#3716258)がそういったメーカー側の悪意に対するものだからね。

              そもそもそういった脆弱性があっても大丈夫なツールということで名前を挙げているのに
              脆弱性が無いことをどうやって保証するのか気にするということは、#3176274のいうとおり難癖つけたいだけなんですかね。

    • by Anonymous Coward

      本人が秘匿させる事が可能。を追加で

      パスワードと指紋の決定的な違いがこれで、指紋は本人が意図してなくてもものに触れるだけでそこらじゅうにばらまいてるし、無理やり採取することも可能だけど
      100%ただしい保証があるパスワードを無理やり奪うのは出来ないしな

  • by Anonymous Coward on 2017年03月14日 14時04分 (#3176247)

    たったの4倍程度

    ここに返信
    • by Anonymous Coward

      ならやるだけ無駄ということだ

  • メール用とサイト用のパスワード変えてないって結構あるはず。サイト運営者って、ユーザのメール見放題なんじゃないかなー。
    それはそうと、Preemptが解析に利用した辞書って何なのか書いてないね。その辞書に他のサイトから流出したパスワードが入っていたのなら、35%って思ったより多くないような?

    ここに返信
    • by Anonymous Coward

      パスワードを使い回す人ってちょっとサイト管理者を信用し過ぎなんだよな。
      サイト管理者には見られるかもって危機感があれば、容易にアカウントハック狙われそうなパスワードは嫌に感じる筈なんだけど。

  • by Anonymous Coward on 2017年03月14日 15時27分 (#3176310)

    ってのがこの調査の結論じゃないの?
    最低12文字で英数字記号混在でよくある単語や電話番号などが混じってはだめで、それを定期的に似た部分のないパスワードに換えて過去に一度でも使ったものは不可、各社サービス間で同じじゃだめで、それでもまだ危険だ!もっと文字数増やせ!
    でも全部記憶しろ。忘れたときの質問も脆弱性だ。

    どうせいと。

    ここに返信
    • by Anonymous Coward

      全部記憶しろまでは言われていないんじゃない?

    • by Anonymous Coward

      「全部記憶しろ」以外は普通にできているけどね。

      まずは、アカウントの重要度を検討して、重要度が低いものはツールやブラウザに覚えさせる。使用環境を吟味して、自宅でしか使わないものはメモに頼るようにする。ネット越しの攻撃には紙のメモは有効なので、基本的には、紙で全てのアカウントとパスワードを管理する。ただし、身内からの攻撃に備えて、暗号化するなり、ダミーのアカウントとパスワードを混ぜるなりしておく。

      これで、覚えないといけないパスワードの数はかなり減らせるから、覚えないといけないパスワードは、英単語、ローマ字打ち、ミカカ打ち、数

  • by Anonymous Coward on 2017年03月14日 15時45分 (#3176322)

    自分は完全にパスワード管理アプリに依存してるので、
    自分が覚えてるのは、アプリのマスターパスワードと、入力の機会が多いAppleアカウントのパスワードのみ。
    そのほかは全部完全なランダムパスワードでアプリに保存してる状態。

    パスワードを忘れた時、だいたいが登録したメールアドレスに再発行のメールが届く仕組みだから、
    メールアカウントのパスワードさえ覚えてたらなんとかなる。
    けど、自分はメールアカウントのパスワードも覚えてないんだよな。これはさすがにリスクかな、と思ったり。

    自分独自の生成ルール決めてやるのがベストなのかな。登録はハッシュしたものだけど、自分だけは復元できるような。

    ここに返信
  • by Anonymous Coward on 2017年03月14日 16時53分 (#3176368)

    > 上位100パターンでクラックできるものが多いそうだ。

    そりゃそうだ。
    企業内のアカウントなんてどうなったって自分は困らないからな。

    仮に自分のアカウントが原因で大きな問題が起きたとしたって
    周りの人たちよりましなパスワードがついてりゃ
    管理責任を問われることもあるまい。
    何しろ周りはキーボードの表(裏ですらない)に貼ってあったり
    会社名+201703で来月は04とか、そんなのばっかりだ。

    ここに返信
    • by Anonymous Coward

      そんなパスワードを許してる管理者の方が悪い

      なんちゃって管理者は大変だよね

  • by Anonymous Coward on 2017年03月14日 17時10分 (#3176381)

    使いまわしとかを制限するためには
    指紋なり物理キーなり組み合わせてログインしたあと
    その情報で別のサービスにログインできる仕組み広げていくしかないとおもうんだ

    ここに返信
    • by Anonymous Coward

      一企業内でやるならともかく、あなたの言う別のサービスと
      最初のログインとの運営が別ならそんなのザル。

      • by Anonymous Coward

        認証を預けるところがザルなら全てが無駄ってのはわかるけど
        認証情報を利用するところが別だとザルって事の意味は?

  • by Anonymous Coward on 2017年03月14日 20時09分 (#3176508)

    うちのサービスはユーザーにパスワード決めさせず、こっちでランダムな文字列を自動生成してる。
    なんでほかもそうしないんだろう。ユーザーに入力させたら使いまわされるのに決まってるのに、ほんと不思議でしょうがない。

    ここに返信
  • NTTひかり電話設定サイトのパスワード有効期限はなんと60日間です。
    そのたびに、古いパスを入れて新しいパスワードを新たに決めなければいけない。
    大手でも馬鹿なひどいシステムを作ったもんだ。
    せめて2年にしてくれよな。
    面倒くさいから、password1の次はpassword2とか連番にしてるよ。

    ここに返信
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...