パスワードを忘れた? アカウント作成
16533364 story
情報漏洩

SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 5

ストーリー by nagazou
123456 部門より
headless 曰く、

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリースNeowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年03月17日 10時32分 (#4428407)

    流出したパスワードを復元ってSALTとかもつけていなかったってことか?

    • by Anonymous Coward

      サーバ側のデータベースからの漏洩であればパスワードのハッシュ化とソルト化ができますが、
      クライアント側でのマルウェア感染による漏洩の場合、アプリ内のテキストコントロールからパスワードを取ったり、
      キーボード操作をキャプチャしてパスワードを取ったりすることができてしまうので、ハッシュ化とかはやりようがないと思います。

  • by Anonymous Coward on 2023年03月17日 16時42分 (#4428582)

    >話題の人物や出来事、製品等に関連するパスワードの人気も高い
    3ヶ月毎に脳内嫁に関連するパスワードをつける奴が…3人ぐらいいるかも?

    # だってうちの会社、未だ3ヶ月毎にパスワード変えろってルールがあって…

  • by Anonymous Coward on 2023年03月17日 16時51分 (#4428591)

    セキュリティ対策に、二段階認証とか流行ってるが、面倒
    おれはすべてのログイン必要なサイトで、それぞれ別の20~30文字程度(使用可能な場合)のランダムパスワード使って、
    特定サイトの流出でも他のアカウントに影響がないようにしてるのに、
    他のセキュリティが緩い人にあわせて二段階認証とか求められて面倒すぎる

    • by Anonymous Coward

      文字数が多くランダムな文字列からなるパスワードは、パスワードを推測しにくくする効果はあるけど、パスワードそのものが流出したら無意味。
      そして、パスワードをサービス毎に変えるのは、パスワード流出時に他のサービスへの影響を防ぐことはできるけど、流失したサイトでの被害は防げない。
      多要素認証はお前みたいな勘違いクンを守るためにあるんやで。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...