パスワードを忘れた? アカウント作成
14097281 story
インターネット

pixiv、脆弱なパスワードの登録を行えない仕組みを導入 93

ストーリー by hylom
なるほど 部門より

Pixivが同社サービスにおいて、「脆弱なパスワード」を登録できないように仕様変更を行ったことを発表した(pixiv inside)。

漏洩したメールアドレスやパスワードに関する情報を提供するプロジェクト「Have I Been Pwned」で提供されている、過去に他サービスで漏洩したハッシュ化されたパスワードのリストを使用し、一定以上漏洩したパスワードを登録できないようにしたとのこと。

「漏洩したパスワード」には「辞書にある単語」や「繰り返したり順番になっている単語」なども含まれているため、結果としてこれらも登録できないようになっているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • via https://www.atmarkit.co.jp/ait/articles/2001/28/news003.html [atmarkit.co.jp]

    「IDそのものを推測しにくいものにするとともに、弱いパスワードを許さず、できれば二要素認証/二段階認証も必須にする方がいい」(徳丸氏)。「過去のパスワードの常識をひっくり返した『NIST SP800-63』の内容を踏まえ、パスワードに複雑性を課さず、さまざまな制限はなくすが、その代わり脆弱なパスワードをはじく仕組みを導入することでパスワードスプレー攻撃はある程度防ぐことができる」

    なんて記事がでてたな

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2020年01月28日 8時07分 (#3751707)

    20文字前後の英大文字・英小文字・数字からなるランダムパスワードを生成して使ってるわ
    当然こんなの人間が覚えるのは不可能なのでパスワードマネージャで管理

    • ふせんと書いてパスワードマネージャーと読む
      // ルビ機能ないので
      親コメント
    • by Anonymous Coward on 2020年01月28日 9時10分 (#3751736)

      〇〇銀行「パソコンにパスワードを保存しないでください」
      https://www.google.com/search?q=%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E... [google.com]

      親コメント
    • pixivに関して言えば、ログイン用フォームが特殊のか、パスワードマネージャー(LastPass)の対応が微妙なんですよね。
      (今試してみたらうまくいったけど、Twitterで検索すると同様の言及が見つかるので、記憶違いではないと思う)

      親コメント
    • by Anonymous Coward

      記号を受け付けないダメなシステムも結構あるので、最近はそこに登録するメアドの文字列に塩(年月日時だったり URL だったり)を振りかけて、 md5sum に食わせて先頭 X 文字(システムで表示されている上限数)を、切り出すことが多いかな。 base64 使ってた時もありましたが、なんとなく md5sum に戻ってきました。どっちがいいのかよくわかりませんけど。

      • by Anonymous Coward on 2020年01月28日 15時24分 (#3752008)

        そうやってる、と言ってしまった瞬間脆弱になるのでオススメは出来ないなあ

        親コメント
      • by Anonymous Coward

        パスワード毎回計算して入力しているのでしょうか。
        私もパスワードマネジャー使っているけど、今のところこれ以外に良い方法を思いつかなくて。
        ノートに記録は、そのノートをずっと持ち歩かないといけなくなるし。
        パスワード付きのWord/ExcelファイルをUSBで持ち歩くのも,無くしそう、ソフト代が馬鹿にならない、
        Androidとかで読むの面倒だし。
        ディプレイに付箋は、外出先で必要とかなったら困るし。

        • 私も昔から似たような方法 [srad.jp]でパスワード生成してます。「サイト名/サービス名」+「全サイト共通のパスフレーズ」をmd5。
          パスワードは毎回計算で。特定のルールに基づいて機械的に生成するので、個々のパスワードを覚える必要がないというのが最大のメリットですかね。

          この方法をいつごろ始めたか覚えてないんですが、最初期は、出先からは Linux Zaurus で生成してました。今は、出先からの確認用には、httpsな自宅サーバで「サービス名+パスフレーズ」を入れたら「パスワード」を返すcgiを運用してます。
          W-ZERO3に移行したときに、ローカルにパスワード計算するアプリを作れず苦肉の策だったcgiが、それでいいのかと思いつつもどこでも使えるのが便利で今に至ってる感じ。

          親コメント
  • by Anonymous Coward on 2020年01月28日 8時34分 (#3751719)

    使える中で最も安直なパスワードから試してけばええな

  • by Anonymous Coward on 2020年01月28日 8時24分 (#3751714)

    >今後の展望
    >新規設定だけでなく、すでにご利用いただいている方についても脆弱なパスワードを順次変更いただく取り組みを進めていきたいと考えています

    まあそうなるな

  • by Anonymous Coward on 2020年01月28日 8時30分 (#3751717)

    もう誰も登録できないじゃん
    考えても見なかったの?

  • by Anonymous Coward on 2020年01月28日 10時19分 (#3751785)

    リスト型攻撃が猛威を振るってる最大の原因は、
    ログインはユーザーが決めたIDとパスワードのセットだから

    他の流出したサイトの情報で試せば高確率でログイン可能となる

    正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、
    パスワードをサーバがランダムで付与するとか、
    そういったユーザーが決定できない要素を入れることである

    • by Anonymous Coward

      ログインIDのランダム化はよくない
      パスワードのサーバ管理もよくない

      ガバガバセキュリティで取り扱ってもノーダメージ部分とダメな部分を
      完全に分けるために平文IDと復元不能なパスワードのハッシュで認証してるので
      「これって機微では?」「ここで多層防御なのでは?」と間違った印象を与えて隙を作ってしまう

      ただ次善策としてブラウザでパスワード生成して提案しちゃうのはアリかもなーとは思う

      • by Anonymous Coward

        プロバイダのデフォルトのパスワードとか、
        Wifiのデフォルトパスワードとか、
        提供側がランダムパスワードで決めて送ってるので、
        ハッカーに推測されにくい

    • by Anonymous Coward

      「ぼくのかんがえたさいきょうのセキュリティ」を語りたがる人にあるある絵に描いた餅。

      IPAも十数年前はそんな馬鹿げたことを言っていたが、最近は初期パスワードをランダムにするようにだけ言っている。

      自分で覚えられないIDやパスワードを強制的に付与することは、利用者の管理負担と会社のサポート業務を増やし、サービスの利用率と満足度を下げ、売り上げの減少に繋がる。

      銀行やクレジット会社は不正利用時の補償義務があるので、利用者の利便性を犠牲にしてでもリスト型攻撃の対策をする必要があるが、一般的なサービスではそんな必要はない。

  • by Anonymous Coward on 2020年01月28日 10時56分 (#3751807)

    銀行とかは強いパスワードにする反面、「見る専用垢」とか破られても構わないアカウントは「打ちやすいパスワード」にしてる人は多いはずなんだけどねー

    Pixivとかインスタとかは典型的な「見る専用垢」が圧倒多数なサービスだと思うのだけど。

    • by Anonymous Coward

      特別な操作をするときだけ登録メアドにワンタイムパスワード送ればいいと思うんだが、
      どうして数字と記号が含まれていて10文字以上のパスワードみたいな話になるんだか。

    • by Anonymous Coward

      「見る専用垢だから、適当なパスワードでイイじゃん!」って人ばっかで、
      みんな abcd とか qwerty とかみたいな単純なパスワードを付けるので、
      逆にのっとりとかの問題も起きてるのかなと思った。知らんけど。

  • by Anonymous Coward on 2020年01月28日 11時03分 (#3751812)

    日本語パスワードにしよう

    • by Anonymous Coward

      「くぁwせdrftgyふじこl」というパスワードですか?
      ※毎回同じパスワードにするのが難しいんだよなぁ

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...