パスワードを忘れた? アカウント作成
13490658 story
情報漏洩

危険なパスワード一覧をまとめたリポジトリに対し「自分のパスワードを削除して」というプルリクエストが届く 69

ストーリー by hylom
プルリクエストは出せるのか 部門より
あるAnonymous Coward曰く、

GitHub上に「SecLists」という、よくあるパスワードなどをまとめたリポジトリがあるのだが、そこに「Remove my password from lists so hackers won't be able to hack me」(リストから僕のパスワードを削除してください。そうすればハッカーが僕をハッキングすることはなくなるはずだ)というプルリクエストが届き、大いに盛り上がりを見せているらしい(該当のプルリクエストGIGAZINE)。

どうやら投稿したassafnativさんのパスワードはdolphinsだったようで、問題のプルリクエストでは一覧からdolphinsだけがせっせと削除されている。これに対して、ほかのユーザーからは総ツッコみが入っており、「全世界が君のパスワードを知った」「12345も消すべきだ」「ファイル名を10_million_password_list_top_1000.txtから999に直してください」など大量のレビューが寄せられている。

果たしてassafnativさんが本気だったのかは定かではないが、案外こういう人はいるのかもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hakikuma (47737) on 2017年12月27日 19時25分 (#3336904)
    昔はMS Officeにもdolphinsがいたのに
    最近のバージョンではせっせと削除されたなあ
  • by Anonymous Coward on 2017年12月27日 19時27分 (#3336906)

    10_million_password_list_top_1000(〇位の「dolphine」除外済).txt

  • by Anonymous Coward on 2017年12月27日 19時34分 (#3336912)

    組織の偉い人が同じようなことを考え実行した結果大惨事に…

    #実在する人物・団体とは一切関係はございません

  • by Anonymous Coward on 2017年12月27日 20時11分 (#3336935)

    コンピューターの事を全く理解してなさそうな人間でもプルリクが出せるレベルまでGitを飼いならしたGitHubすげー

  • by Anonymous Coward on 2017年12月27日 19時55分 (#3336926)

    「絶対笑ってはいけないpull request」

    • by Anonymous Coward

      ( ´,_ゝ`)プッrequest

      • by Anonymous Coward

        (デデーン)Anonymous Coward、アウトー!

        • by Anonymous Coward

          ACさん、自分で言ったギャグを回収するの
          さみしくありませんか?

  • by Anonymous Coward on 2017年12月27日 20時11分 (#3336934)

    昔、クラッキング用辞書というのを手に入れて、のぞいてみたことがあったけど、単語の羅列にしか見えなかった。それで気がついたのは、パスワードってほとんど英語を基にしてるってこと。それからは、日本語ベースのパスワードを使うようにしている。忘れにくいというメリットもある。でも、日本語ベースってのは突破されにくいんだろうか?

    • by Anonymous Coward on 2017年12月28日 1時58分 (#3337099)

      20年ちょっと前の話ですが、UNIX用のcryptパスワード解析ツールcrack [wikipedia.org]をそのまま使う(機械生成パターン+英語ベースの辞書攻撃)だと、あまり引っかからないが
      当時ネットに流通していたIME用のアイドル人名辞書「i-dic」を追加するだけで、面白いようにボロボロと引っかかかる、なんて話がありました。

      親コメント
    • by nemui4 (20313) on 2017年12月28日 7時22分 (#3337117) 日記

      わかりました、"pasuwa-do" ですね。
      あるいは "aikotoba"。

      親コメント
    • by Anonymous Coward

      ローマ字の日本語って長さあたりのエントロピー低いからなあ・・・。

    • by Anonymous Coward

      日本語(ローマ字)クラック用辞書もあるよ。

      一般的に攻撃者がそれを使うかどうかは知らない。
      日本のサービスを対象にするとか、特に日本人のアカウントを狙い撃ちにするとか言う意図で、まともな知識のあるクラッカーなら間違いなく使うだろうけど。

      • by Anonymous Coward

        ・・・どうかは知らない。
        ・・・だろうけど。

        ただの妄想垂れ流し

  • by Anonymous Coward on 2017年12月27日 20時25分 (#3336941)

    ネタをネタと見抜けない人には理解するのが難しいかも

  • by Anonymous Coward on 2017年12月27日 20時27分 (#3336942)

    私のIPアドレスです

    • by Anonymous Coward

      いや、お前のIPアドレスは127.0.0.1だろ

  • by Anonymous Coward on 2017年12月27日 20時37分 (#3336948)

    件のプロジェクト自体は、安全でないパスワード例を掲示したつもりなんだろうけど、
    そもそも、よそで使用されているパスワードを公開すること自体、パスワード流出では?
    (善意的か悪意的かの違いでやっていること自体は変わらない)。

    イルカだけでなくファイルそのものを削除するべき

    #い、いえ、決して自分が使っているパスワードが載っているわけではないですよ?
    #あくまでイッパンロンとして、、、

    • by Anonymous Coward on 2017年12月28日 0時03分 (#3337063)

      超マジレスすると、ユーザーがパスワードを変更する時にこのデータベースと照合することで弱いパスワードが設定されてしまう前に検知する、というしごく真っ当な用途がある。

      親コメント
    • by Anonymous Coward

      ネタならもうひとひねり欲しい。

      マジレスするなら、その理論が通るならパスワードジェネレーターで生成した文字列を羅列したファイルを公開するのはパスワード流出になるのか?

      • by Anonymous Coward

        そうか?
        よくあるパスワード、がどういう手段で収集されたのかによると思うけど、実際に使われていたものを集めたなら、他人が秘密にしていたものを公開しているわけで、かなりグレーだと思うが。
        そして、現に消してくれと言われて応じなかったら、弁護士から手紙が来るとかクラスアクション起されるくらいには危ないと思うが。

    • by Anonymous Coward

      既に流出してるパスワードでのランキングということを忘れてませんか?

      • by Anonymous Coward

        そんなのサイトのどこに書いてあります?

    • by Anonymous Coward

      そのパスワードを使っている具体的なアカウント名並びにサービスを公表したなら流出行為だろうけど、今回の場合はどうなるのかなあ?

    • by Anonymous Coward

      ソースを読まれて脆弱性を突かれるから公開しないで!

  • by Anonymous Coward on 2017年12月27日 22時00分 (#3336999)

    タイトルオンリー

    • by Anonymous Coward

      たとえがおかしくないか?

      雉も鳴かずばとか藪を突いての部類だろコレ

  • by Anonymous Coward on 2017年12月28日 0時48分 (#3337075)

    このプルリクを投げたのは人間ではなく、強化されたイルカ

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...