パスワードを忘れた? アカウント作成
13593289 story
セキュリティ

非ASCII文字を含んだパスワードがサイバー攻撃目的で使われた例 13

ストーリー by hylom
非ASCIIといっても 部門より

昨今の絵文字の普及により、最近ではパスワードに絵文字を使う提案も出ている。とはいえ多くのシステムではパスワードとして半角英数字と一部の記号しか使えないが、不正アクセスを狙う攻撃者が非ASCII文字を含んだパスワードを使う例があるという(www.morihi-soc.net)。

記事によると、ハニーポットとしてSSHでアクセスできるサーバーを公開したところ、いくつかASCII文字ではない文字を含んだパスワードを使って不正ログインを試みた例が観測できたという。また、辞書攻撃に使われるパスワードを含んだ辞書データ中にも非ASCII文字を使ったパスワードが含まれているそうだ。ただ、逆感嘆符(¡­)や、アクサンテギュ(´)付きの文字が多かったとのことで、こういった文字が使われている言語圏でパスワードとしても使われていると推測されている。ちなみに絵文字を使ったパスワードは見つからなかったそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • (´・ω・`)

    とかを一瞬思い浮かべたけど、これは顔文字か。

    • by Anonymous Coward on 2018年05月09日 21時44分 (#3405481)

      麻雀牌(U+1F000 - U+1F02B)で14文字のパスワードを某所で使ってる
      #スラドじゃないけどいちおうACにしとこ

      親コメント
      • もしあがれる形にしているんだとすると、14文字あってもその分のエントロピーはないよね。
        たぶん、あがれない牌にして、理牌もしないほうがパスワードとしての強度が強そう。

        でも、そんなのをパスワードにするのはイヤだな。w

        親コメント
    • NIST SP 800-63Bを見る限り、Unicodeをパスワードとして使う時代はそう遠くないと思います。
      NIST SP 800-63B [nist.gov]

      5.1.1.2 Memorized Secret Verifiers
      ....
      All printing ASCII [RFC 20] characters as well as the space character SHOULD be acceptable in memorized secrets. Unicode [ISO/ISC 10646] characters SHOULD be accepted as well.
      ....

      ここでは、全てのASCII文字列と、そしてUnicode文字もMemorized Secret(要するにパスワード)として扱えるようにすべきとなっています。

      パスワードをハッシュ化するという当たり前のことをきちんとしていれば、結局はASCIIの文字列になるわけなので、Unicodeで漢字が来ようが、絵文字が来ようが、ヒエログリフが来ようが、理屈としては問題ないわけで。
      (NFKD/NFKC正規化もきちんと担保しろよってことも、上記の800-63Bに書いてあります)

      UTF-16だとサロゲートペアがきちんと扱えないアプリは全滅するでしょうが、そりゃ「ちゃんと対応しよう」と言うしかないわけで。

      これを受けて、GCP(Google Cloud Platform)のブログでも、以下のように述べられています。
      ユーザー アカウント、承認、パスワード管理に効く 12 のベスト プラクティス [googleblog.com]

      ハッシュ化されたパスワードは、既知の ASCII 文字の一部だけで構成されます。そうでなくても、バイナリ ハッシュは簡単に Base64 に変換できます。
      こうした点を踏まえると、ユーザーが使いたいあらゆる文字をパスワードに使用できるようにするべきです。Klingon や Emoji、両端に空白を含む制御文字をパスワードに含めたいユーザーがいたとしても、それを拒む技術的理由はないはずです。

      親コメント
      • by Anonymous Coward

        そだね。
        問題は入力手段。

    • by Anonymous Coward on 2018年05月09日 16時08分 (#3405277)

      日本ではカナ入力に対応してる例なんて全く知らないけど、
      日本で言うところのカナ入力やその国のアルファベットでの入力も主流な国だとそのまま使えるっぽいね

      アラブ圏とか韓国とかダイアクリティカル(いわゆるウムラウトとか)が主要な国ね

      中国はasciiでのピンイン入力の方が主流らしいけど詳しく知らない

      親コメント
      • by Anonymous Coward

        意外に対応しているサイト多い
        ただメモ帳開いてパスワードかいてコピー&ペーストする必要性があるけど

        • by Anonymous Coward

          何かの拍子にWebページやバックエンドのロケールが変わったタイミングでハッシュ値不一致起こしそうだな

          そんときゃ逆算して文字化けしてるのをコピペすれば良いんだろうか

      • by Anonymous Coward

        :)

  • by Anonymous Coward on 2018年05月09日 17時19分 (#3405345)

    キーボード等から変換を経由せずにダイレクト入力できるのかなあ。
    変換途中の文字が背中越しに視えちゃったらイヤじゃん?
    そりゃ、スマフォなら絵文字入力モードあるけどさ。

    • Linuxだとシステムのキーマップ次第で今回のは入力できると思うけど常用してるキーマップで使えないとちょっと実現的じゃないですね
      gdm3のスクリーンキーボードだとキーマップenのままで入力できました
      https://www.flickr.com/photos/matoken/40148187860/in/datetaken/lightbox/
      ショルダーハックには耐えられないけど……
      親コメント
    • by Anonymous Coward

      手入力するのは初回だけだから、問題なさげ。

  • by Anonymous Coward on 2018年05月09日 19時02分 (#3405390)

    銀行のワンタイムデバイスみたいになの作ってそれにアカウントを結び付けてUSB経由か何かで認証すれば良いのにと思う

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...