SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 5
123456 部門より
2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリース、 Neowin の記事)。
2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。
パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。
政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。
これ見るたびに思うんだが (スコア:0)
流出したパスワードを復元ってSALTとかもつけていなかったってことか?
Re: (スコア:0)
サーバ側のデータベースからの漏洩であればパスワードのハッシュ化とソルト化ができますが、
クライアント側でのマルウェア感染による漏洩の場合、アプリ内のテキストコントロールからパスワードを取ったり、
キーボード操作をキャプチャしてパスワードを取ったりすることができてしまうので、ハッシュ化とかはやりようがないと思います。
いっぽう日本では (スコア:0)
>話題の人物や出来事、製品等に関連するパスワードの人気も高い
3ヶ月毎に脳内嫁に関連するパスワードをつける奴が…3人ぐらいいるかも?
# だってうちの会社、未だ3ヶ月毎にパスワード変えろってルールがあって…
二段階認証とか面倒 (スコア:0)
セキュリティ対策に、二段階認証とか流行ってるが、面倒
おれはすべてのログイン必要なサイトで、それぞれ別の20~30文字程度(使用可能な場合)のランダムパスワード使って、
特定サイトの流出でも他のアカウントに影響がないようにしてるのに、
他のセキュリティが緩い人にあわせて二段階認証とか求められて面倒すぎる
Re: (スコア:0)
文字数が多くランダムな文字列からなるパスワードは、パスワードを推測しにくくする効果はあるけど、パスワードそのものが流出したら無意味。
そして、パスワードをサービス毎に変えるのは、パスワード流出時に他のサービスへの影響を防ぐことはできるけど、流失したサイトでの被害は防げない。
多要素認証はお前みたいな勘違いクンを守るためにあるんやで。