危険なパスワード一覧をまとめたリポジトリに対し「自分のパスワードを削除して」というプルリクエストが届く 69
ストーリー by hylom
プルリクエストは出せるのか 部門より
プルリクエストは出せるのか 部門より
あるAnonymous Coward曰く、
GitHub上に「SecLists」という、よくあるパスワードなどをまとめたリポジトリがあるのだが、そこに「Remove my password from lists so hackers won't be able to hack me」(リストから僕のパスワードを削除してください。そうすればハッカーが僕をハッキングすることはなくなるはずだ)というプルリクエストが届き、大いに盛り上がりを見せているらしい(該当のプルリクエスト、GIGAZINE)。
どうやら投稿したassafnativさんのパスワードはdolphinsだったようで、問題のプルリクエストでは一覧からdolphinsだけがせっせと削除されている。これに対して、ほかのユーザーからは総ツッコみが入っており、「全世界が君のパスワードを知った」「12345も消すべきだ」「ファイル名を10_million_password_list_top_1000.txtから999に直してください」など大量のレビューが寄せられている。
果たしてassafnativさんが本気だったのかは定かではないが、案外こういう人はいるのかもしれない。
カイル (スコア:1)
最近のバージョンではせっせと削除されたなあ
top_1000.txtから999じゃだめでしょ (スコア:1)
10_million_password_list_top_1000(〇位の「dolphine」除外済).txt
Re:top_1000.txtから999じゃだめでしょ (スコア:5, おもしろおかしい)
あちらでも同じ趣旨のコメントが付いていて笑った
I think it should be renamed to 10_million_password_list_top_1000_except_dolphins.txt
オープンなコミュニティ上なら笑い話だが (スコア:1)
組織の偉い人が同じようなことを考え実行した結果大惨事に…
#実在する人物・団体とは一切関係はございません
ネタでなければたいしたもんだ (スコア:1)
コンピューターの事を全く理解してなさそうな人間でもプルリクが出せるレベルまでGitを飼いならしたGitHubすげー
Re:ネタでなければたいしたもんだ (スコア:1)
ASKAェ!
-- う~ん、バッドノウハウ?
命名 (スコア:0)
「絶対笑ってはいけないpull request」
Re: (スコア:0)
( ´,_ゝ`)プッrequest
Re: (スコア:0)
(デデーン)Anonymous Coward、アウトー!
Re: (スコア:0)
ACさん、自分で言ったギャグを回収するの
さみしくありませんか?
辞書 (スコア:0)
昔、クラッキング用辞書というのを手に入れて、のぞいてみたことがあったけど、単語の羅列にしか見えなかった。それで気がついたのは、パスワードってほとんど英語を基にしてるってこと。それからは、日本語ベースのパスワードを使うようにしている。忘れにくいというメリットもある。でも、日本語ベースってのは突破されにくいんだろうか?
Re:辞書 (スコア:1)
20年ちょっと前の話ですが、UNIX用のcryptパスワード解析ツールcrack [wikipedia.org]をそのまま使う(機械生成パターン+英語ベースの辞書攻撃)だと、あまり引っかからないが
当時ネットに流通していたIME用のアイドル人名辞書「i-dic」を追加するだけで、面白いようにボロボロと引っかかかる、なんて話がありました。
Re:辞書 (スコア:1)
わかりました、"pasuwa-do" ですね。
あるいは "aikotoba"。
Re:辞書 (スコア:1)
"寿限無"のごとく、パスワードに向いている言葉を繋げていけば強固なパスワードに!
そして忘れる。
Re:辞書 (スコア:1)
wwitmaseal
wind was intense this morning and sand entered a little.
今朝より土風激しゅうて少砂眼入す
Re:辞書 (スコア:1)
あなたのIPアドレスは 192.168.0.1 ですね
Re: (スコア:0)
ローマ字の日本語って長さあたりのエントロピー低いからなあ・・・。
Re: (スコア:0)
歌詞のフレーズやことわざ等のフレーズから子音だけを並べたパスワードは打ちやすいし秀逸だと思った
kmgyhtynytynszrisniwotnrtkknmsmd
昭和のギャグで数字混ぜる (スコア:2)
日本語(ローマ字)クラック用辞書が使われると考えたら、パスワードが
「サザエサンsazaesan」「ドラエモンdoraemon」では辞書で突破されるので数字を混ぜると攻撃に強くなるはず。
数字いり「あっと驚くタメゴロー ATTOodo6tame56」とか、「およびでない oyobide9」 とかにするべし。
(今度は「恥ずかしい昭和のパスワード、ワースト100」に掲載される危険を伴う)
Re:昭和のギャグで数字混ぜる (スコア:1)
昔競馬ファンの人が "bmnznb" をパスワードに使ってたそうな(短いな)
BambooMemory Ni ZeNnBu だそうな
酔うたびに周りに喋ってたのでパスワードの意味がなかった。
Re:昭和のギャグで数字混ぜる (スコア:1)
SnzwKyjnZnb
お二人とも故人となられました。あ、司会者もそうですね。
昭和は遠くなりにけり。
Re:昭和のギャグで数字混ぜる (スコア:2)
なんと篠沢教授もはらたいらさんも巨泉さんも故人なんですね。なるほど遠い昔の番組になりました。
「篠沢教授のブログ 」は現在は奥様が書いておられるようです。
三択の女王 (スコア:1)
という話題になるとついでに
竹下景子まで死んだことになってしまうことがしばしば
Re: (スコア:0)
ZeNBuかZeMBuかって判らなくなりそう
ShinozawaKyojuNiZeNBu
ってのも有りそうですね
Re:昭和のギャグで数字混ぜる (スコア:1)
やがてみなDAI語化が進んでしまいそう
Re: (スコア:0)
ローマ字と英語を混ぜてnownayoungnibakauke
Re: (スコア:0)
後々になってどういう人間だったか考察される可能性が、、、 [gigazine.net]
Re: (スコア:0)
AINMMNWGMMNBKHKMDKWKZTKNI
Re: (スコア:0)
とっかかりによく使う、rockyouの中でローマ字っぽい文字列の数が 、ざっと
egrep -c -x '(([kstnhmyrwgzdbp]|sh|ch|ky|sy|ty|ny|hy|my|ry|gy|zy|dy|by|py)?[aiueo])+' rockyou.txt
174085
wc -l rockyou.txt
14344391
…だいたい1%くらい?
でも今やられてるの総当たりばっかりじゃない?エントロピー使う方法ってスピードがどうしても出ないから。単語そのままとかじゃなきゃ、文字列の長さだけ気にしておけばいいような気がする。
Re: (スコア:0)
日本語(ローマ字)クラック用辞書もあるよ。
一般的に攻撃者がそれを使うかどうかは知らない。
日本のサービスを対象にするとか、特に日本人のアカウントを狙い撃ちにするとか言う意図で、まともな知識のあるクラッカーなら間違いなく使うだろうけど。
Re: (スコア:0)
・・・どうかは知らない。
・・・だろうけど。
ただの妄想垂れ流し
消すと増えます (スコア:0)
ネタをネタと見抜けない人には理解するのが難しいかも
192.168.1.1 (スコア:0)
私のIPアドレスです
Re: (スコア:0)
いや、お前のIPアドレスは127.0.0.1だろ
むしろファイルごと消すべき (スコア:0)
件のプロジェクト自体は、安全でないパスワード例を掲示したつもりなんだろうけど、
そもそも、よそで使用されているパスワードを公開すること自体、パスワード流出では?
(善意的か悪意的かの違いでやっていること自体は変わらない)。
イルカだけでなくファイルそのものを削除するべき
#い、いえ、決して自分が使っているパスワードが載っているわけではないですよ?
#あくまでイッパンロンとして、、、
Re:むしろファイルごと消すべき (スコア:1)
超マジレスすると、ユーザーがパスワードを変更する時にこのデータベースと照合することで弱いパスワードが設定されてしまう前に検知する、というしごく真っ当な用途がある。
Re: (スコア:0)
ネタならもうひとひねり欲しい。
マジレスするなら、その理論が通るならパスワードジェネレーターで生成した文字列を羅列したファイルを公開するのはパスワード流出になるのか?
Re: (スコア:0)
そうか?
よくあるパスワード、がどういう手段で収集されたのかによると思うけど、実際に使われていたものを集めたなら、他人が秘密にしていたものを公開しているわけで、かなりグレーだと思うが。
そして、現に消してくれと言われて応じなかったら、弁護士から手紙が来るとかクラスアクション起されるくらいには危ないと思うが。
Re: (スコア:0)
https://xato.net/today-i-am-releasing-ten-million-passwords-b6278bbe7495 [xato.net]
これな。
Re: (スコア:0)
既に流出してるパスワードでのランキングということを忘れてませんか?
Re: (スコア:0)
そんなのサイトのどこに書いてあります?
Re: (スコア:0)
そのパスワードを使っている具体的なアカウント名並びにサービスを公表したなら流出行為だろうけど、今回の場合はどうなるのかなあ?
Re: (スコア:0)
ソースを読まれて脆弱性を突かれるから公開しないで!
小さな親切大きなお世話 (スコア:0)
タイトルオンリー
Re: (スコア:0)
たとえがおかしくないか?
雉も鳴かずばとか藪を突いての部類だろコレ
強化イルカ (スコア:0)
このプルリクを投げたのは人間ではなく、強化されたイルカ
Re: (スコア:0)
イルカが攻めてきたぞ?
Re: (スコア:0)
「お前を消す方法」
Re: (スコア:0)
質問の意味がわかりません。
∨
🐬
Re: (スコア:0)
蘇我入鹿?