Microsoft、過去に流出したパスワードを使用するMicrosoftアカウントを多数発見 54
ストーリー by headless
共通 部門より
共通 部門より
リポート公開から時間が経っているようだが、Microsoftが1月から3月にかけて実施した調査によると、過去に流出したパスワードと同じパスワードを使用するAzure ADまたはMicrosoftサービスのアカウントが計4,400万件以上あったそうだ(Microsoft Security Intelligence Report、
gHacksの記事、
PCMagの記事、
ZDNetの記事)。
調査は侵害された認証情報がMicrosoftのシステムで使われていないかどうかを確認するのが目的で、複数のデータ侵害事件で流出した認証情報30億件以上を用いたという。流出したパスワードと一致するパスワードを使用していたユーザーに対しては、パスワードリセットを強制したそうだ。Azure ADユーザーの場合は高リスクのフラグ付けをし、管理者がパスワードリセットを実行できるよう通知したとのこと。
Microsoftでは複数のユーザーが同じパスワードを使用している現状からみて、多要素認証(MFA)を使用するなどのセキュリティ強化が必要だとし、MFAの使用でアカウントに対する攻撃の99.9%を防ぐことができると説明している。
調査は侵害された認証情報がMicrosoftのシステムで使われていないかどうかを確認するのが目的で、複数のデータ侵害事件で流出した認証情報30億件以上を用いたという。流出したパスワードと一致するパスワードを使用していたユーザーに対しては、パスワードリセットを強制したそうだ。Azure ADユーザーの場合は高リスクのフラグ付けをし、管理者がパスワードリセットを実行できるよう通知したとのこと。
Microsoftでは複数のユーザーが同じパスワードを使用している現状からみて、多要素認証(MFA)を使用するなどのセキュリティ強化が必要だとし、MFAの使用でアカウントに対する攻撃の99.9%を防ぐことができると説明している。
使えるパスワードが枯渇しそう (スコア:0)
よくわからないんだがログインIDとの組み合わせじゃなくてパスワード単独で他人と重複しちゃいかんと言ってるんだよね?
ログインIDが公開情報だからってことなのかな。
Re: (スコア:0)
12345678
とか
password
とか使うなって話だろ
Re: (スコア:0)
30億件なんて英数字だけ使ったパスワード6文字分にも満たない。まったくの杞憂。指数関数なめるな
Re: (スコア:0)
他人と重複しちゃいかん、というわけじゃなくて
クラッカーは流出したこれらのパスをまず試すに決まってるから、もうこれらは使っちゃいかん、という話じゃねーかな。
パスに使える文字を8文字組み合わせるだけでも何兆・何京通りもあるんだし
ちゃんとしたパスを使おうと思う人なら、簡単には枯渇に悩まされないはず。
Re: (スコア:0)
パスワードを固定してIDをランダム試行する攻撃がある
例えば”password123”というパスワードを使っている人が5%いることが分かったとする
適当な会員制サイトで”password123”を入力して”surado@example.com”, “anony_mouse@example.com” ... 等々とやる
5%なら10000件試せば500件も当たるのだから、詐欺の類なら当たった奴のIDを悪用すればいいという手口
パスワードはユーザーが決めるからダメ (スコア:0)
パスワードはサーバが決めたランダム文字列を使わせるとか、
それとも、パスワードを2つ必要にして、
1つはユーザーが決めたパスワード、もう2つはサーバが決めたランダム文字列とかにしないと
インターネットプロバイダとかは、初期パスワードは事業者が決めたランダム文字列になってるのが当たり前
また、家庭用ルータ等も、初期パスワードは筐体のラベルに貼ってあるランダム文字列だったりする
Re:パスワードはユーザーが決めるからダメ (スコア:2)
たまにパスワードマネージャーに対応してない、または使わせないようにしてるソフトがあって、
アカウント発行時にわからないから手動設定するしか無いんだよなあ
Re: (スコア:0)
もうパスワードの暗号学的な強度で誤魔化せる時代は終わったんだと思う
パスワードは人が覚える時代から自動生成して管理ツールやクライアントアプリで管理する時代になってくよ
Re: (スコア:0)
ツール前提にできるならユーザーが覚える必要も入力する必要も無い鍵文字列で管理できるんだけどね。
いずれにしてもパスワードを認証をやめられるシステムは廃止していくのが今後のトレンドだろうね。
多要素認証の事例が増えてきたおかげでパスワード認証への依存は解消されつつある。
Re:パスワードはユーザーが決めるからダメ (スコア:2)
おぉ!「秘密の質問」ですね!!
Re: (スコア:0)
先日Windows10インスコしたら秘密の質問を3つも聞かれてキャンセルもできなかったのだが。うざ。
Re: (スコア:0)
こういうのは、やめてほしいですね。
安全面もかえって疑問を感じます!
Re: (スコア:0)
ま、要素の一つとしてはイイいんじゃない。認証に求められる強固さは色々なレベルがあるからね。
Re: (スコア:0)
パスワード管理ソフトって、
パスワード.xlsx
とか、
パスワード.txt
でいいじゃん
専用のを用意する必要なし
クラウド同期とか必要ないスタンドアロンでよければ、パスワード管理ソフトは無料である
スマホでもテキストベースの管理なら有料ソフト不要
Re: (スコア:0)
電磁気的に盗み出されることは無いぞ
Re: (スコア:0)
ノートの方がテキストより手軽だと思うんならそれで何も問題ない
大事なのは「十分強力なパスワードを全部覚えていられる時代は終わった」という事実を認めて受け入れること
Re: (スコア:0)
正直そんな時代は最初からなかったかと…
Re: (スコア:0)
じゃあ今まで通りメモすれば解決じゃん
Re: (スコア:0)
ところが毎月10ドル払う意識高い系がいるんだなこれが。で結局漏らされると。
Re: (スコア:0)
別に無料のがいくらでもあるし全部は覚えきれないんだから同じことじゃん
Re: (スコア:0)
問題は今この時代に「十分強力なパスワードを全部覚えていられる」ことが可能だと思っている人が存在することでしょ。
それ前提の人が、ツールやメモの利用抜きのパスワード認証のエコシステムを成立させようと足掻いていて、
そんな無駄な努力はもうやめるべきって話ができない。
Re: (スコア:0)
無料のでもオープンソースでも好きなのを使えよ
URLをソルトにしてマスターパスワードから生成する奴もあるぞ
Re: (スコア:0)
金庫のマスターNoみたいな方法ですね。
…まあダメな奴はトコトンダメな方法方向に突き進むんですよね〜
フールプルーフの限界テストじみてる…
Re: (スコア:0)
最初に1回入力するだけならいいけど、
日常的なログインで何度も求められるのにそれは無理ってもんよ。
なら、パスワードなしで毎回メール飛ばしてクリックさせる方がマシ。
メールが漏れたらアカウントも漏れる、というのはパスワード変更メソッドで現状でも一緒だ。
Re:パスワードはユーザーが決めるからダメ (スコア:1)
昔、フリーのメールサービスで、HDD障害→バックアップの復元失敗→事業停止のコンボで丸ごとメールアカウント失ったことあったなぁ。
そこまでいかなくとも、よくわからん会社のメールサーバーが止まったけどサービス使いたいとか、言われたく無いなぁ
マイクロソフトアカウントのハッシュって (スコア:0)
何を使っているんだろう?まさかとは思うけど、ソルトもないし未だにRC4使ってるNTハッシュ?さすがにそれはないか…ないよね?
Re: (スコア:0)
流出したパスワードとハッシュ値が一致するかどうか見ればいいだけでは…
Re: (スコア:0)
力技か、ソルトが一種類しかないかじゃないかなあ。
Re: (スコア:0)
やっぱり、そうとしか考えられないですよね……。いやだなーこわいなー
Re: (スコア:0)
力技なら別に怖くなくね?
Re: (スコア:0)
それができる計算リソースを持っているというのが(別の意味で)怖いので。
Re: (スコア:0)
でもさ、一日3億回不正ログインが試みられているMSのクラウドなんだから、大したことないのかも。
あと正規のログイン時に過去に流出したパスワードと同じパスワードかをチェックすれば、大した計算量でもなさそう。
Re: (スコア:0)
暗号資産のマイニングだとグラフィックボード1枚で秒間3000万回程度
パスワード照合は日常業務の一環なのでサーバ一台でその程度の負荷と仮定すると30億のアカウントを試すのに100秒
流出パスワードデータベースが仮に1万件とすると100万秒=278時間
280台のサーバーに分散すると1時間
Azureの無料枠が一年間に750時間
計算ノードの価格が2CPUで1時間に10円
280台 * 10円 = 2800円
どう計算しても精々回らない寿司屋一人前
所要時間から言っても費用から言っても
Re: (スコア:0)
計算したのは評価するけど出鱈目すぎ。
流出パスワードは1万件じゃなくて30億件。Have I been Pwnedが90億件なので規模感としては妥当。
MSアカウント/ADアカウント総数は未公表。参考までに新興のfacebookが月間アクティブが20億~。
Azureの10円/hではGPU使えない。秒間6000万回程度のハッシュレートを持つTeslaのインスタンスで120円/h~。
あとGPU計算を阻害するためのストレッチングの考慮が抜けてる。Azure ADと同じなら1,000回。
所要時間は任意の並列計算ノード数によるけど、一人前が3兆円の寿司屋なんてあるか?
Re: (スコア:0)
ああ流出クレデンシャルが三十億あるのか
それ以外の点は結論ありきの割引に見えるけど何か根拠があるならどうぞ
Re: (スコア:0)
MSの認証システムなんだからソルトを生成してるのもMSだろ。何の困難があるんだ? ソルトという言葉を最近覚えたから使ってみたかっただけ?
Re: (スコア:0)
過去のパスワードのソルトを保存して新しいパスワードの検証用に使ったら駄目じゃん
Re: (スコア:0)
ソルトを保存してなかったらどうやって認証するんだよwwww
Re: (スコア:0)
平文で流出したパスワードについて調べたんじゃね
Re: (スコア:0)
平文パスワードが流出してるんだからログインする時と同じように処理すればいいだけなんですが…
モデレータは親コメ沈めといてね
Re: (スコア:0)
書き込む前に自分のコメント読まないの?
全く意味をなしてないぞ
Re: (スコア:0)
スラドの記事は全部何かしらの手落ちだと思わないと頭がおかしくなる病気でも起こしてんの?
自分に対する指摘が全て人格攻撃に見える病気の人ってのは聞いたことがあるけどまさかニュース記事も悪口に聞こえてんの?
風の音とか窓の反射まで悪意に感じられるようになっちゃってる感じ?
Re: (スコア:0)
(#3728350)ではないが、彼は別に問題はないな
それより(#3728353)のほうにうすら寒いものを感じる
自分の主張があるのに自分の言葉で書けないのなら、教育の失敗か本人の問題かはわからないが、かなりまずい
Re: (スコア:0)
いきなり他人の書き込みにまったく関係ないことで人格攻撃する人の方がおかしいと思うけど、本当に問題ないと思ったの?
「教育の失敗」と人格攻撃するのも薄ら寒いしまずいぞ
Re: (スコア:0)
言い方見て相対的にどっちが悪いかって論点しかないんだったら、元のやつの発想がおかしいって所には誰も異論ないんじゃね?
Re: (スコア:0)
(#3728350)は多少口が悪いが問題はないな
内容は的を射ている
似たような口の悪さをここにいない人(会社とか)に向けても咎めるやつはほとんどいないから、口の悪さがきみらを不快にさせているわけではないのは明らか
しかも口の悪さには
> 自分の病気を先に疑ったらどお?
> あなたも病気でしたか
> 「教育の失敗」と人格攻撃するのも薄ら寒いしまずいぞ
と積極的に自分たちも加担している
そのことに気づいていないから相手の言葉をそのまま返しているのだろうし、教育の失敗か本人の問題かはわからないが、かなりまずい、と書いた
あるいは、自分が攻撃されたのだから、相手を攻撃的だと非難しつつ自分は攻撃的になってもよいと考えているのではないか?だがそれは間違いだ
それに、自分が不快になった=人格攻撃された、ではない
批判されるべき点を批判されても不快になるだろうが、それは人格攻撃とはいわない
Re: (スコア:0)
ここにいない人(会社とか)に向けても咎めるやつはほとんどいないから
#3728350と同じような言い方で会社の同僚に注意して咎められないてのは相当異常だと思いますが。
言われてる方が諦めているのか、それとも殺伐とした会社なのか・・・
Re: (スコア:0)
何とか上から目線で言い負かしたいけど人格攻撃以外に手が無いという気持ちだけは伝わってくるな