pixiv、脆弱なパスワードの登録を行えない仕組みを導入 93
ストーリー by hylom
なるほど 部門より
なるほど 部門より
Pixivが同社サービスにおいて、「脆弱なパスワード」を登録できないように仕様変更を行ったことを発表した(pixiv inside)。
漏洩したメールアドレスやパスワードに関する情報を提供するプロジェクト「Have I Been Pwned」で提供されている、過去に他サービスで漏洩したハッシュ化されたパスワードのリストを使用し、一定以上漏洩したパスワードを登録できないようにしたとのこと。
「漏洩したパスワード」には「辞書にある単語」や「繰り返したり順番になっている単語」なども含まれているため、結果としてこれらも登録できないようになっているという。
参考 (スコア:3, 参考になる)
via https://www.atmarkit.co.jp/ait/articles/2001/28/news003.html [atmarkit.co.jp]
なんて記事がでてたな
M-FalconSky (暑いか寒い)
サイトごとに別のランダムパスワード使ってる (スコア:1)
20文字前後の英大文字・英小文字・数字からなるランダムパスワードを生成して使ってるわ
当然こんなの人間が覚えるのは不可能なのでパスワードマネージャで管理
Re:サイトごとに別のランダムパスワード使ってる (スコア:3, すばらしい洞察)
// ルビ機能ないので
Re: (スコア:0)
巫占ですか!
Re:サイトごとに別のランダムパスワード使ってる (スコア:1)
〇〇銀行「パソコンにパスワードを保存しないでください」
https://www.google.com/search?q=%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E... [google.com]
Re:サイトごとに別のランダムパスワード使ってる (スコア:1)
pixivに関して言えば、ログイン用フォームが特殊のか、パスワードマネージャー(LastPass)の対応が微妙なんですよね。
(今試してみたらうまくいったけど、Twitterで検索すると同様の言及が見つかるので、記憶違いではないと思う)
Re: (スコア:0)
記号を受け付けないダメなシステムも結構あるので、最近はそこに登録するメアドの文字列に塩(年月日時だったり URL だったり)を振りかけて、 md5sum に食わせて先頭 X 文字(システムで表示されている上限数)を、切り出すことが多いかな。 base64 使ってた時もありましたが、なんとなく md5sum に戻ってきました。どっちがいいのかよくわかりませんけど。
Re:サイトごとに別のランダムパスワード使ってる (スコア:1)
そうやってる、と言ってしまった瞬間脆弱になるのでオススメは出来ないなあ
Re: (スコア:0)
パスワード毎回計算して入力しているのでしょうか。
私もパスワードマネジャー使っているけど、今のところこれ以外に良い方法を思いつかなくて。
ノートに記録は、そのノートをずっと持ち歩かないといけなくなるし。
パスワード付きのWord/ExcelファイルをUSBで持ち歩くのも,無くしそう、ソフト代が馬鹿にならない、
Androidとかで読むの面倒だし。
ディプレイに付箋は、外出先で必要とかなったら困るし。
Re:サイトごとに別のランダムパスワード使ってる (スコア:2)
私も昔から似たような方法 [srad.jp]でパスワード生成してます。「サイト名/サービス名」+「全サイト共通のパスフレーズ」をmd5。
パスワードは毎回計算で。特定のルールに基づいて機械的に生成するので、個々のパスワードを覚える必要がないというのが最大のメリットですかね。
この方法をいつごろ始めたか覚えてないんですが、最初期は、出先からは Linux Zaurus で生成してました。今は、出先からの確認用には、httpsな自宅サーバで「サービス名+パスフレーズ」を入れたら「パスワード」を返すcgiを運用してます。
W-ZERO3に移行したときに、ローカルにパスワード計算するアプリを作れず苦肉の策だったcgiが、それでいいのかと思いつつもどこでも使えるのが便利で今に至ってる感じ。
Re: (スコア:0)
別に自慢じゃねえだろ。
単なる手法の紹介。
窮状を訴えてるのに、「鎖自慢乙」って冷やかすような奴だな。ホント糞
Re: (スコア:0)
わからないのでどの辺を「自慢」と感じたのか教えて
Re: (スコア:0)
きっと、かの御仁には思い付かないような斬新なアイデアだったんだよ。
言わせんなよ、恥ずかしい。
Re: (スコア:0)
あ、そういう尺度しかないんだ
Re: (スコア:0)
Chromeがやってくれるから自分の自慢にはならないのでは。
Re: (スコア:0)
きっとこの人はそんなツールが普通にあることを知らないんでしょう。
だから、元コメが「俺スゴイ」アピールに見えちゃう。
この業界の人なら、普通に知ってることで、自慢でも何でもないんだけどねえ。
Re: (スコア:0)
iCloudのキーチェーンとかでタダで管理できるのに、わざ有料パスワード管理ソフトに金払って使ドヤドヤしてるやつの方が自慢だろ
Re: (スコア:0)
マルチデバイスマルチプラットフォーム対応ならいいけどね。
使用できるアプリが無制限だったりパスワード以外の付属情報なども保存できたり。
Re: (スコア:0)
> マルチデバイスマルチプラットフォーム対応ならいいけどね。
> 使用できるアプリが無制限だったりパスワード以外の付属情報なども保存できたり。
それ、すでにAppleが全部実現してますよ
Re: (スコア:0)
どこにも有料とは書いてないけど何か変なスイッチが入ってる?
Re: (スコア:0)
新鮮味のない割に「えっへん」というオーラを感じるのは認める。
ただこれは、サイト毎のパスワードを管理しないばかりかそれが当然の如く主張してくる輩への反発でもあるだろうな。
パスワードの使いまわしはやめましょう。
Re:サイトごとに別のランダムパスワード使ってる (スコア:2)
どこにそんなオーラ感じます?
読み直してみたけど感じないんだよなぁ
淡々とそうしてると書いてるだけじゃないの
Re:サイトごとに別のランダムパスワード使ってる (スコア:2)
参考までに自分のやってるやり方を書くのは別におかしかないでしょ
無いところに悪意を探してる気がするな
いや、あるかもしれないものをあると決めつけている、と言うべきか
Re:サイトごとに別のランダムパスワード使ってる (スコア:2)
元のが図々しいのか
感じた人が過敏であるのか
それによって責任の所在は違うと思います
Re:サイトごとに別のランダムパスワード使ってる (スコア:2)
普通過ぎることでも元コメは一人目だしうっとおしいとは思いませんねぇ
今日初めて見る人だっているわけで
そこにいきなり突っ込んでく (#3751711) のほうが半可通臭くてうっとおしいです
そんな中で(#3751826) のコメを書いた人は冷静そうだったので具体的にどこに「「えっへん」というオーラ」を感じたのか聞いてみたかったのです
が、(#3751711) に話を合わせただけな気がしてきました
うっとおしい人にも話を合わせる良い人のコメントなだけかも
Re:サイトごとに別のランダムパスワード使ってる (スコア:2)
最近よく見る…そうかな?
半可通っぽいイキった人が増えてるのかもしれませんね
攻撃者「よっしゃ、試すパスワードが減ったわ」 (スコア:1)
使える中で最も安直なパスワードから試してけばええな
Re:攻撃者「よっしゃ、試すパスワードが減ったわ」 (スコア:1)
携帯ショップのカウンターで「パスワードはせいねんがっぴ」って大声で答えてたおばあちゃんを思い出してしまう。
そのうち既存ユーザも対象 (スコア:0)
>今後の展望
>新規設定だけでなく、すでにご利用いただいている方についても脆弱なパスワードを順次変更いただく取り組みを進めていきたいと考えています
まあそうなるな
全通りブラックリスト入りになったらどうすんの? (スコア:0)
もう誰も登録できないじゃん
考えても見なかったの?
Re: (スコア:0)
ちなみに全通りって何通りくらいあるんです?
Re: (スコア:0)
仮に英大文字・英小文字・数字だけの16文字ちょうどのパスワードだと
たったの62^16=47672401706823533450263330816通り。1秒間に1億パターン
チェックした場合150兆年程度でチェックが終わってしまうぐらい弱々。
で、ブラック入りになるパスワードって24文字未満ぐらい???
Re: (スコア:0)
違う、Have I Been PwnedのAPIではSHA-1ハッシュの先頭五文字だけをチェックするだけなので、[0-9a-f]の五文字だから16^5で104万8576通りしかないよ。
やろうと思えば全通りブラックリスト入りさせるのは簡単。Pwnedに104万通り含まれてる嘘のデータセットを送ってしまえばいい。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:2)
HIBPのAPI仕様と使用例を見れば、それが大きな勘違いだと分かると思います。SHA-1ハッシュの先頭五文字で絞り込みはできますが、チェックはできません。
https://haveibeenpwned.com/api/v3#PwnedPasswords [haveibeenpwned.com]
https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
pixivの発表を読む限り、APIを使うんじゃなくてリストを手元に置いて自前で検証するようだから、最大2^160通りは確保できるのでは
Re: (スコア:0)
そんな信憑性のないデータ受け入れると思ってるの?
Re: (スコア:0)
そしたらパスワード長を伸ばせば?
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
// ばれます
Re: (スコア:0)
いや、表記が揺れるので意外といけると思います。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
入力ミスではねられまくりそうな予感。
もしかしたら「一つのパスワードでの認証」自体がセキュリティ的にはアウトになるんやろか。
Re:全通りブラックリスト入りになったらどうすんの? (スコア:1)
オチがいろいろあるのはそのせいか。
#長い寿限無くんの名前をみんなが言っている間に起きることが「たんこぶ治っちゃった」みたいなよいことから
#「寿限無くん溺れて死んじゃった」みたいな暗いのまで
リスト型攻撃 (スコア:0)
リスト型攻撃が猛威を振るってる最大の原因は、
ログインはユーザーが決めたIDとパスワードのセットだから
他の流出したサイトの情報で試せば高確率でログイン可能となる
正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、
パスワードをサーバがランダムで付与するとか、
そういったユーザーが決定できない要素を入れることである
Re: (スコア:0)
ログインIDのランダム化はよくない
パスワードのサーバ管理もよくない
ガバガバセキュリティで取り扱ってもノーダメージ部分とダメな部分を
完全に分けるために平文IDと復元不能なパスワードのハッシュで認証してるので
「これって機微では?」「ここで多層防御なのでは?」と間違った印象を与えて隙を作ってしまう
ただ次善策としてブラウザでパスワード生成して提案しちゃうのはアリかもなーとは思う
Re: (スコア:0)
プロバイダのデフォルトのパスワードとか、
Wifiのデフォルトパスワードとか、
提供側がランダムパスワードで決めて送ってるので、
ハッカーに推測されにくい
Re: (スコア:0)
「ぼくのかんがえたさいきょうのセキュリティ」を語りたがる人にあるある絵に描いた餅。
IPAも十数年前はそんな馬鹿げたことを言っていたが、最近は初期パスワードをランダムにするようにだけ言っている。
自分で覚えられないIDやパスワードを強制的に付与することは、利用者の管理負担と会社のサポート業務を増やし、サービスの利用率と満足度を下げ、売り上げの減少に繋がる。
銀行やクレジット会社は不正利用時の補償義務があるので、利用者の利便性を犠牲にしてでもリスト型攻撃の対策をする必要があるが、一般的なサービスではそんな必要はない。
使い分けが重要 (スコア:0)
銀行とかは強いパスワードにする反面、「見る専用垢」とか破られても構わないアカウントは「打ちやすいパスワード」にしてる人は多いはずなんだけどねー
Pixivとかインスタとかは典型的な「見る専用垢」が圧倒多数なサービスだと思うのだけど。
Re: (スコア:0)
特別な操作をするときだけ登録メアドにワンタイムパスワード送ればいいと思うんだが、
どうして数字と記号が含まれていて10文字以上のパスワードみたいな話になるんだか。
Re: (スコア:0)
「見る専用垢だから、適当なパスワードでイイじゃん!」って人ばっかで、
みんな abcd とか qwerty とかみたいな単純なパスワードを付けるので、
逆にのっとりとかの問題も起きてるのかなと思った。知らんけど。
最高クラスの (スコア:0)
日本語パスワードにしよう
Re: (スコア:0)
「くぁwせdrftgyふじこl」というパスワードですか?
※毎回同じパスワードにするのが難しいんだよなぁ