パスワードを忘れた? アカウント作成
13793197 story
セキュリティ

2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 33

ストーリー by hylom
世界に向けてパスワードを漏らす 部門より
headless曰く、

パスワードマネージャーサービスのDashlaneは12日、パスワードを正しく使用していない人・団体のランキング「Worst Password Offenders」2018年版を発表した(Dashlane BlogBetaNews)。

ランキング1位はミュージシャンのカニエ・ウェスト。彼はホワイトハウスでトランプ大統領と会談した際、「0」を連打してiPhoneのロックを解除している。この様子を取材に集まっていたTVカメラがとらえ、パスコードが「000000」だと全世界に知られることになった。

ランキング2位は米国防総省。米会計検査院(GAO)が国防総省を監査した際、システムにさまざまな脆弱性が見つかっただけでなく、監査チームが9秒で管理者パスワードを当てたという。さらに、複数の兵器システムのソフトウェアのパスワードがデフォルトのままになっていたとのこと。国防総省は昨年の4位から2ランク上昇している。

3位~10位は以下の通り。

  • (3位)暗号通貨所有者 スラドでは昨年末に話題となったが、パスワードを忘れて使用できなくなるというトラブルが相次いでいる
  • (4位)NutellaWorld Password Dayに投稿したツイート で、パスワードに「Nutella」を設定するよう推奨
  • (5位)英法律事務所:上位500社の企業メールアドレスとパスワードの組み合わせが100万件以上ダークウェブに流出。多くは平文で保存されていたという
  • (6位)米テキサス州:1,400万人以上の有権者情報を保存したサーバーにパスワードを設定せず、インターネットで公開状態になっていた
  • (7位)米ホワイトハウス職員:暗号メールサービスProtonmailのメールアドレスとパスワードをホワイトハウスのメモ用紙にメモし、他の文書と一緒にバス停に置き忘れる
  • (8位)Google:YouTubeの放送衛星とYouTube TVの管理者ページに空のユーザー名とパスワードでログインできる状態だったことが見つかる
  • (9位)国連:TrelloやJira、Google Docsなどでパスワードを設定せずに非公開情報も含むデータを共有していたため、Googleの検索結果からアクセス可能な状態だった
  • (10位)ケンブリッジ大学:Facebookアプリで収集した300万人分以上の個人情報へアクセスするためのパスワードを平文でGitHubに保存していた
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • いや待てよ (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2018年12月14日 18時34分 (#3533692)

    簡単なものにしない、人前で出来る限り入力しないは当たり前だが
    人がパスワード入力しているときは見ない映さないも当たり前じゃないの?

    • by Anonymous Coward on 2018年12月14日 19時16分 (#3533710)

      動画見たけどさすがに笑う
      俺も見ませんよってポーズはよく取るけど、あくまで「なんかあって疑ってもらっちゃ困る」っポーズでしかないし、
      疑われても屁でもないマスコミがそんなもんやるはずもなし

      親コメント
      • by Anonymous Coward

        衆目が集まったところでパスワード入力が必要になることが予定されているんなら、一時的な単純パスワードに変えておいて、人前では本来のパスワードは使わないっていうことじゃないのかな?

    • by nemui4 (20313) on 2018年12月14日 20時55分 (#3533752) 日記

      もしかしたら公開用パスワードちゃうやろか

      親コメント
    • by Anonymous Coward

      人の善意やマナーに頼る姿勢、とても好きです。
      そんな私は私のiPhoneやAndroid、MacやWindowsの標準機能でRfC3514 [ietf.org]が実装されるのを心待ちにしていますが、一向にされないようですね…
      なんででしょうね。

    • by Anonymous Coward

      大統領に何かを見せようとしてたのは明らかだし、スマホの画面に焦点当てるのは仕方なくね?
      ホワイトハウスを訪問した子供のならモザイク掛けただろうけど、それなりに有名な人がやらかしたならそれ自体ネタになるし

    • by Anonymous Coward

      電車の中でもたまに見かけるよ。
      どう見ても、どんな時でも一瞬でロック解除するカッコいいオレ、を見てもらうためにやっているとしか思えんので他所を向いたらかわいそうだろ。

    • by Anonymous Coward

      普段は別だけど撮影時だけ000000とか。
      # Win8のPINとかそんな感じ。デバイス毎ユニークでアカウントパスワードを入れるよりマシ

  • Github... (スコア:4, 興味深い)

    by vnaoivoibonaea (48112) on 2018年12月14日 20時38分 (#3533743) 日記

    昨年の記事ですが、
    「remove password」というキーワードでパスワード調べることができたり [security.srad.jp]
    PRで自パスワードがバレてしまったりと [security.srad.jp]
    結構やらかしてしまう人は多いのですね。

    • by Anonymous Coward

      9割方の責任が利用者にあることは否めないが、残りの1割はgitの「コミットメッセージ必須」という狂った仕様のせい

      どんなリクエストなのか何をしたいのかわからないパッチに、Linusが昔からイラついていたのは知っていたが、コミットメッセージの強制はやりすぎだった
      あの仕様のせいで、最近では「コミットメッセージの正しい書き方」などというウンチクをたれるバカまで現れる自体となった
      CodeKeeperの単なる代替ではなく、これほど大くの分野でgitが使われるようになった以上、「コミットメッセージ必須」はそろそろ削除すべき

      • by annoymouse coward (11178) on 2018年12月14日 22時03分 (#3533783) 日記

        オプションつければ,メッセージなしでもcommitできますよ

        ズボラな人なら以下のコマンドで alias 用意しておきましょう
          git commit -a --allow-empty-message -m ''

        親コメント
        • by Anonymous Coward

          ズボラなのでそのaliasを用意するのも面倒で、git commit -am kariみたいなのを多用しています……。そして、testとかtest2とかのコミットメッセージも加わります。

      • by Anonymous Coward

        > 「コミットメッセージ必須」という狂った仕様
        プログラマーというのは怠けものだから、必須でなければ、
        メッセージを入れないでコミットし、目的不明な変更が増えるよ?

        > 「コミットメッセージの正しい書き方」などというウンチクをたれる
        そういう連中は、例えもともとがオプションだったとしても
        (ぼくのかんがえた)正しい書き方を見出そうとするし、
        最悪、「ソースコードのコメントに(変更した日時含めて)書こう」とか言い始めるよ?

        • by Anonymous Coward

          変更点が分かりやすいように,前のバージョンからの差分として diff コマンドの出力をコメントに…

      • by Anonymous Coward

        必須が当然。これをサボるのはプログラマ失格。

      • by Anonymous Coward

        お前のコメントからコミットメッセージの強制がだめな理由が全く読み取れないのだが。

  • by Anonymous Coward on 2018年12月14日 19時29分 (#3533715)

    御冗談でしょう。
    暗証番号など、出荷時のままで使うのは当然。

    • by Anonymous Coward

      クリントンのメール問題は、騙されてパスワード変えたのが流出のきっかけなんだよね。
      迂闊に変えない方が安全なのかもしれない。

    • by Anonymous Coward

      前世紀の話だからもう笑い話にしていいかもしれない。
      ベンダ「rootパスワードは未設定で納入しますのでユーザが設定してください」
      偉い人「一切の設定変更を許さない。全てがベンダの責任であることを明確にすべき」
      末端 「rootパスワードは空で運用しますね何せ命令ですから」

  • by Anonymous Coward on 2018年12月14日 18時55分 (#3533699)

    TrelloやJira、Google Docsなどでパスワードを設定せずに非公開情報も含むデータを共有していたため、Googleの検索結果からアクセス可能な状態だった

    情報公開が徹底してますなあ、いやあ感心感心。

  • by Anonymous Coward on 2018年12月14日 19時59分 (#3533730)

    新システムのパスワード設定してもすぐに忘れてしまう。
    おかげで、再セットアップすることも度々・・・

    • by Anonymous Coward

      私も「秘密の質問と答え」なんてもう忘れてます。
      覚えてても答えが漢字なのかカナなのかもわかりません。

      • by Anonymous Coward on 2018年12月14日 21時17分 (#3533761)

        秘密の質問は本当にやめてほしい。
        あれで回復できないパスワードが何個かある。
        二段階認証の回復コードの方がどうせ覚えられないので、どっかに保存してなんとかなることのほうが多い。

        Originおまえの事だ。でもパスワードの変更だけは秘密の質問無しで出来る裏道がある。訳分からん。

        あとJCBも勘弁して欲しい。

        親コメント
        • by Anonymous Coward

          私のFlickrアカウントだな。しばらくログインしていないと、パスワード入力後に秘密の質問を聞かれるというクソ仕様。
          おかげてパスワードを覚えているのにログインできず、もはや自分のアップした写真に手も出せない。

          • by Anonymous Coward

            そんなこともあろうかと
            秘密の質問の答え=パスワード
            と言う設定を。。。

  • by Anonymous Coward on 2018年12月15日 1時02分 (#3533851)

    というのはないのか。
    絶対忘れるからメールアドレスと同じパスワードとか00000とか
    そういう超簡単なパスワードにして利便を追求するのって自由じゃないのか
    ハックされる危険性よりも忘れる危険性のほうが高いんだからしゃーない
    簡単で忘れない危険なパスワードを使う権利をくれ
    不正アクセスされても泣き寝入るからさ

    • by Anonymous Coward

      付箋に書いて貼っておくの最強

    • by Anonymous Coward

      そこはパスワードを設定しない権利、だろ

    • by Anonymous Coward

      それによってもたらされた結果が本人だけに影響するのであれば「自業自得」でしょうが、
      昨今の攻撃は本人だけでなく、本人を踏み台にして関係者や他人まで巻き添えにしようとし、
      その結果サービスそのものの信頼性まで踏みにじることが多いので、権利として認めるわけにはいかんのです。

    • by Anonymous Coward

      単純で忘れないパスワードとして
      好きな歌の歌詞や好きな名言を
      使用している。
      長いパスワードでも忘れない。
      思わず口にしてしまう欠点があるが。。。

  • by Anonymous Coward on 2018年12月15日 10時50分 (#3533952)

    Webサイトデザイン関係の営業担当者が来たとき、PCのロックを解除するのに、1234567890を指でなぞるように操作して解除してた。馬鹿じゃないかと思った。

    • by Anonymous Coward

      天才やん!

    • by Anonymous Coward

      少なくとも世界に二人はいるんだな。
      俺も見たことがある。
      ちなみにWebサイトデザイン関係者ではない。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...