パスワードを忘れた? アカウント作成
14064882 story
マイクロソフト

Microsoft、過去に流出したパスワードを使用するMicrosoftアカウントを多数発見 54

ストーリー by headless
共通 部門より
リポート公開から時間が経っているようだが、Microsoftが1月から3月にかけて実施した調査によると、過去に流出したパスワードと同じパスワードを使用するAzure ADまたはMicrosoftサービスのアカウントが計4,400万件以上あったそうだ(Microsoft Security Intelligence ReportgHacksの記事PCMagの記事ZDNetの記事)。

調査は侵害された認証情報がMicrosoftのシステムで使われていないかどうかを確認するのが目的で、複数のデータ侵害事件で流出した認証情報30億件以上を用いたという。流出したパスワードと一致するパスワードを使用していたユーザーに対しては、パスワードリセットを強制したそうだ。Azure ADユーザーの場合は高リスクのフラグ付けをし、管理者がパスワードリセットを実行できるよう通知したとのこと。

Microsoftでは複数のユーザーが同じパスワードを使用している現状からみて、多要素認証(MFA)を使用するなどのセキュリティ強化が必要だとし、MFAの使用でアカウントに対する攻撃の99.9%を防ぐことができると説明している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年12月08日 18時57分 (#3728349)

    よくわからないんだがログインIDとの組み合わせじゃなくてパスワード単独で他人と重複しちゃいかんと言ってるんだよね?
    ログインIDが公開情報だからってことなのかな。

    • by Anonymous Coward

      12345678
      とか
      password
      とか使うなって話だろ

    • by Anonymous Coward

      30億件なんて英数字だけ使ったパスワード6文字分にも満たない。まったくの杞憂。指数関数なめるな

    • by Anonymous Coward

      他人と重複しちゃいかん、というわけじゃなくて
      クラッカーは流出したこれらのパスをまず試すに決まってるから、もうこれらは使っちゃいかん、という話じゃねーかな。

      パスに使える文字を8文字組み合わせるだけでも何兆・何京通りもあるんだし
      ちゃんとしたパスを使おうと思う人なら、簡単には枯渇に悩まされないはず。

    • by Anonymous Coward

      パスワードを固定してIDをランダム試行する攻撃がある
      例えば”password123”というパスワードを使っている人が5%いることが分かったとする
      適当な会員制サイトで”password123”を入力して”surado@example.com”, “anony_mouse@example.com” ... 等々とやる
      5%なら10000件試せば500件も当たるのだから、詐欺の類なら当たった奴のIDを悪用すればいいという手口

  • by Anonymous Coward on 2019年12月08日 19時10分 (#3728355)

    パスワードはサーバが決めたランダム文字列を使わせるとか、
    それとも、パスワードを2つ必要にして、
    1つはユーザーが決めたパスワード、もう2つはサーバが決めたランダム文字列とかにしないと

    インターネットプロバイダとかは、初期パスワードは事業者が決めたランダム文字列になってるのが当たり前
    また、家庭用ルータ等も、初期パスワードは筐体のラベルに貼ってあるランダム文字列だったりする

    • たまにパスワードマネージャーに対応してない、または使わせないようにしてるソフトがあって、
      アカウント発行時にわからないから手動設定するしか無いんだよなあ

      親コメント
    • by Anonymous Coward

      もうパスワードの暗号学的な強度で誤魔化せる時代は終わったんだと思う
      パスワードは人が覚える時代から自動生成して管理ツールやクライアントアプリで管理する時代になってくよ

      • by Anonymous Coward

        ツール前提にできるならユーザーが覚える必要も入力する必要も無い鍵文字列で管理できるんだけどね。

        いずれにしてもパスワードを認証をやめられるシステムは廃止していくのが今後のトレンドだろうね。
        多要素認証の事例が増えてきたおかげでパスワード認証への依存は解消されつつある。

        • >多要素認証の事例が増えてきたおかげでパスワード認証への依存は解消されつつある。

          おぉ!「秘密の質問」ですね!!
          親コメント
          • by Anonymous Coward

            先日Windows10インスコしたら秘密の質問を3つも聞かれてキャンセルもできなかったのだが。うざ。

            • by Anonymous Coward

              こういうのは、やめてほしいですね。
              安全面もかえって疑問を感じます!

          • by Anonymous Coward

            ま、要素の一つとしてはイイいんじゃない。認証に求められる強固さは色々なレベルがあるからね。

    • by Anonymous Coward

      金庫のマスターNoみたいな方法ですね。
      …まあダメな奴はトコトンダメな方法方向に突き進むんですよね〜
      フールプルーフの限界テストじみてる…

    • by Anonymous Coward

      最初に1回入力するだけならいいけど、
      日常的なログインで何度も求められるのにそれは無理ってもんよ。
      なら、パスワードなしで毎回メール飛ばしてクリックさせる方がマシ。
      メールが漏れたらアカウントも漏れる、というのはパスワード変更メソッドで現状でも一緒だ。

  • by Anonymous Coward on 2019年12月09日 21時15分 (#3728956)

    何を使っているんだろう?まさかとは思うけど、ソルトもないし未だにRC4使ってるNTハッシュ?さすがにそれはないか…ないよね?

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...