非ASCII文字を含んだパスワードがサイバー攻撃目的で使われた例 13
ストーリー by hylom
非ASCIIといっても 部門より
非ASCIIといっても 部門より
昨今の絵文字の普及により、最近ではパスワードに絵文字を使う提案も出ている。とはいえ多くのシステムではパスワードとして半角英数字と一部の記号しか使えないが、不正アクセスを狙う攻撃者が非ASCII文字を含んだパスワードを使う例があるという(www.morihi-soc.net)。
記事によると、ハニーポットとしてSSHでアクセスできるサーバーを公開したところ、いくつかASCII文字ではない文字を含んだパスワードを使って不正ログインを試みた例が観測できたという。また、辞書攻撃に使われるパスワードを含んだ辞書データ中にも非ASCII文字を使ったパスワードが含まれているそうだ。ただ、逆感嘆符(¡)や、アクサンテギュ(´)付きの文字が多かったとのことで、こういった文字が使われている言語圏でパスワードとしても使われていると推測されている。ちなみに絵文字を使ったパスワードは見つからなかったそうだ。
絵文字を使ったパスワード (スコア:1)
(´・ω・`)
とかを一瞬思い浮かべたけど、これは顔文字か。
Re:絵文字を使ったパスワード (スコア:2, 興味深い)
麻雀牌(U+1F000 - U+1F02B)で14文字のパスワードを某所で使ってる
#スラドじゃないけどいちおうACにしとこ
Re:絵文字を使ったパスワード (スコア:2)
もしあがれる形にしているんだとすると、14文字あってもその分のエントロピーはないよね。
たぶん、あがれない牌にして、理牌もしないほうがパスワードとしての強度が強そう。
でも、そんなのをパスワードにするのはイヤだな。w
Re:絵文字を使ったパスワード (スコア:2)
NIST SP 800-63Bを見る限り、Unicodeをパスワードとして使う時代はそう遠くないと思います。
NIST SP 800-63B [nist.gov]
ここでは、全てのASCII文字列と、そしてUnicode文字もMemorized Secret(要するにパスワード)として扱えるようにすべきとなっています。
パスワードをハッシュ化するという当たり前のことをきちんとしていれば、結局はASCIIの文字列になるわけなので、Unicodeで漢字が来ようが、絵文字が来ようが、ヒエログリフが来ようが、理屈としては問題ないわけで。
(NFKD/NFKC正規化もきちんと担保しろよってことも、上記の800-63Bに書いてあります)
UTF-16だとサロゲートペアがきちんと扱えないアプリは全滅するでしょうが、そりゃ「ちゃんと対応しよう」と言うしかないわけで。
これを受けて、GCP(Google Cloud Platform)のブログでも、以下のように述べられています。
ユーザー アカウント、承認、パスワード管理に効く 12 のベスト プラクティス [googleblog.com]
Re: (スコア:0)
そだね。
問題は入力手段。
Re:絵文字を使ったパスワード (スコア:1)
日本ではカナ入力に対応してる例なんて全く知らないけど、
日本で言うところのカナ入力やその国のアルファベットでの入力も主流な国だとそのまま使えるっぽいね
アラブ圏とか韓国とかダイアクリティカル(いわゆるウムラウトとか)が主要な国ね
中国はasciiでのピンイン入力の方が主流らしいけど詳しく知らない
Re: (スコア:0)
意外に対応しているサイト多い
ただメモ帳開いてパスワードかいてコピー&ペーストする必要性があるけど
Re: (スコア:0)
何かの拍子にWebページやバックエンドのロケールが変わったタイミングでハッシュ値不一致起こしそうだな
そんときゃ逆算して文字化けしてるのをコピペすれば良いんだろうか
Re: (スコア:0)
:)
絵文字ってさ (スコア:0)
キーボード等から変換を経由せずにダイレクト入力できるのかなあ。
変換途中の文字が背中越しに視えちゃったらイヤじゃん?
そりゃ、スマフォなら絵文字入力モードあるけどさ。
Re:絵文字ってさ (スコア:1)
gdm3のスクリーンキーボードだとキーマップenのままで入力できました
https://www.flickr.com/photos/matoken/40148187860/in/datetaken/lightbox/
ショルダーハックには耐えられないけど……
Re: (スコア:0)
手入力するのは初回だけだから、問題なさげ。
そろそろパスワードは限界 (スコア:0)
銀行のワンタイムデバイスみたいになの作ってそれにアカウントを結び付けてUSB経由か何かで認証すれば良いのにと思う