効率的に不正接続を試みるリスト攻撃プログラムが見つかる 4
ストーリー by hylom
パスワードはサービスごとに変えましょう 部門より
パスワードはサービスごとに変えましょう 部門より
流出したIDとパスワードの組み合わせリストを使ってほかのサービスへの不正ログインを狙う攻撃は「リスト型攻撃」と呼ばれるが、これを使ってメールアカウントを奪取し、さらにそのアカウントでやりとりされているメールの内容を自動で分析してネットバンキングや電子決済サービスなどの攻撃対象を自動分類するという攻撃プログラムが確認されたそうだ(NHK)。
問題の攻撃プログラムでは、メール内容から事前に使用しているサービスを特定することで試行数を減らして効率的に攻撃が行える。また、IPアドレスを自動的に変えながら攻撃を行う機能も付いているという。
このプログラムは、昨年5月に無届けで中継サーバーを運用しているとして摘発された中国人業者のサーバーから見つかったとのこと。また、このサーバーからは6500万件にも上るID・パスワードのリストも見つかっているという。
コロンブスの卵? (スコア:0)
パスワードの使いまわしはするなと言われている以上
一定数の人が使いまわしているのは想像がつくし、
メールの内容を奪取できるなら、
アカウント登録通知っぽいメール文からIDを抽出は
思いつきそうだけど・・・
相手のサイトが (スコア:0)
どのようにパスワードを保存しているか知る方法ってありますか?
・平文
・SHA1
・MD5
・password_hash()
・crypt()
Re: (スコア:0)
平文かもしれないし、可逆暗号かもしれないし、ハッシュかもしれない。個別に聞けば教えてくれるかも。
例外的に、Have I Been Pwned [haveibeenpwned.com]のようにハッシュ化したパスワードを送信させていることがスクリプトやパケットキャプチャで確認できればそれとわかるし、パスワードリマインダーなどでパスワードを平文で送ってくるっぽいサイト [azurewebsites.net]は少なくともハッシュではないとわかる。プロバイダのPPPoE接続パスワードもCHAPの特性上、平文または可逆暗号化保存。
いずれにせよ、パスワードを使い回さなければパスワードの保存方法を気にする必要はない。容易に変更できない個人情報の保存方法を気にするべき。
Re: (スコア:0)
相手の自己申告以外の方法は無いと思うけど、それを知りたい理由を知りたい。