他社流出パスワードを用いた不正ログインについて
http://notice.nicovideo.jp/ni046768.html
だそうです。
最近この手の話題が多いですね。
流出パスワードを利用したリスト型攻撃が増えているということの現れでしょう。
サイト毎に別々のパスワードを設定するのは基本中の基本なのですが、それでも、いろいろなサイトで別々のパスワードを設定するのは難しかったりしますし、なかなか難しいものです。
心当たりがなくても、万が一ニコニコから流出している可能性も考えて、再設定することをオススメします。
まず、良いパスワードというのは、以下のような要件を満たす必要があります。
例えば、『G5y-3Y!XTn』のようなパスワードですね。
(注:このパスワードは使わないでください)
ちなみに、o(オー)を0(ゼロ)に置き換えるなどの古典的な置き換えはあまり効果的ではありません。覚えやすく、かつ、安全なパスワードの作り方はググれば沢山情報が出てきますので、参考にしてみるのもありかもしれません。
正直、覚えられませんよね。
そこでオススメしたいのが、上記の『良いパスワード』を工夫して使い回す方法です。
ただし、本当はこれで十分に強いというわけではなく、様々な流出リストを突合されると法則性がバレてしまう程度のものですが、やらないよりはマシという方法です。
先ほど考えたパスワードは『G5y-3Y!XTn』でした。
これに手を加えます。
例えば、
nicovideo.jpの場合『nG5y-3Y!XTno』
rakuten.co.jpの場合『rG5y-3Y!XTnn』
google.comの場合『gG5y-3Y!XTne』
ドメイン名(TLD除く)の頭の文字をパスワードの先頭に、最後の文字をパスワードの最後にくっつけるという方法です。これならなんとか覚えられそうです。
もう一歩進めて、ドメイン名の文字数を付け加える、奇数文字目を大文字にする、先頭と最後ではなく「y」や「Y」の場所を置き換えるなど、色々工夫はできます。
繰り返しになりますが、複数サービスでパスワードがバレた場合は、IDやその他の情報と突合されて法則性を調べられて終わり、なんてことが予想されますが、一箇所から流出しただけならば被害範囲を抑えられるという利点があります。
もはやユーザー・パスワード方式での認証は弱いと言わざるを得ないのですが、手軽な代替の方法があまりありません。
すべてを、ちゃんと実践できている人っているんですかねw
あとは、暗号化されていないページ(SSLではないページ)ではパスワードを入力しないというのもひとつの安全策でしょう。(これもまた過信はできないものですが)
パスワードは平文で保存しないのは超基本です。
適切に塩で味付けされたハッシュ(「ハッシュ salt パスワード」で検索)で保存することで、(あくまでも時間稼ぎでしかないですが)かなり安全になります。とはいえ忘れてはいけないのは、サーバーに不正なプログラムを仕込まれてしまえば生パスワードを盗まれる危険性があるということです。
ニコニコ運営の発表において「調査の結果」と書かれているのは、パスワードはハッシュ化して保存されていて、不正なプログラムを仕掛けられていないことが確認されたということなのでしょう。
もう一つは攻撃を受けたり侵入を受けたことをちゃんと把握出来る仕組みを構築しておくことです。ファイルの一覧を記録しておいて不審な変化がないか確認する、アクセスログを確認して、立て続けにログインを試行するようなアクセスがあればメールが飛ぶように設定しておくとか、でしょうか。
正直、かなり大変です。
もうむりぽ。
というわけで寝ます。
http://notice.nicovideo.jp/ni046768.html
だそうです。
最近この手の話題が多いですね。
流出パスワードを利用したリスト型攻撃が増えているということの現れでしょう。
サイト毎に別々のパスワードを設定するのは基本中の基本なのですが、それでも、いろいろなサイトで別々のパスワードを設定するのは難しかったりしますし、なかなか難しいものです。
どうすればいいの?
使い回しをしていることに心当たりがある方はパスワードの再設定を行いましょう。心当たりがなくても、万が一ニコニコから流出している可能性も考えて、再設定することをオススメします。
どんなパスワードがいいの?
実際の所、いくらパスワードを再設定していても悪いパスワードを設定していれば、意味がありません。ニコニコのパスワードの再設定をするついでに、良いパスワードについて考えてみましょう。まず、良いパスワードというのは、以下のような要件を満たす必要があります。
- 英字大文字、英字小文字、数字、記号を不規則に混ぜる
- 長さは最低でも8文字、できれば10文字以上はあったほうがよい
- 名前、ユーザー名、誕生日、ナンバープレートなど推測されやすいものは使わない
- 辞書に載っている単語は使わない
- 良く知られた数列(円周率、自然対数の底、フィボナッチ数列など)は使わない
例えば、『G5y-3Y!XTn』のようなパスワードですね。
(注:このパスワードは使わないでください)
ちなみに、o(オー)を0(ゼロ)に置き換えるなどの古典的な置き換えはあまり効果的ではありません。覚えやすく、かつ、安全なパスワードの作り方はググれば沢山情報が出てきますので、参考にしてみるのもありかもしれません。
え、こんなパスワードをサイト毎に作るの? 覚えられなくなくなくなくなくない?
こんなパスワードをサイト毎につくって設定するなんてなんて……。正直、覚えられませんよね。
そこでオススメしたいのが、上記の『良いパスワード』を工夫して使い回す方法です。
ただし、本当はこれで十分に強いというわけではなく、様々な流出リストを突合されると法則性がバレてしまう程度のものですが、やらないよりはマシという方法です。
先ほど考えたパスワードは『G5y-3Y!XTn』でした。
これに手を加えます。
例えば、
nicovideo.jpの場合『nG5y-3Y!XTno』
rakuten.co.jpの場合『rG5y-3Y!XTnn』
google.comの場合『gG5y-3Y!XTne』
ドメイン名(TLD除く)の頭の文字をパスワードの先頭に、最後の文字をパスワードの最後にくっつけるという方法です。これならなんとか覚えられそうです。
もう一歩進めて、ドメイン名の文字数を付け加える、奇数文字目を大文字にする、先頭と最後ではなく「y」や「Y」の場所を置き換えるなど、色々工夫はできます。
繰り返しになりますが、複数サービスでパスワードがバレた場合は、IDやその他の情報と突合されて法則性を調べられて終わり、なんてことが予想されますが、一箇所から流出しただけならば被害範囲を抑えられるという利点があります。
もっと安全にするには?
もはやユーザー・パスワード方式での認証は弱いと言わざるを得ないのですが、手軽な代替の方法があまりありません。
- 二要素認証が使えるサイトでは二要素認証を使う
- パスワードを1年ごとに変更する
(せめて、年齢に関連した数字を一定の規則でパスワードに混ぜる等) - ログイン履歴が確認できるサイトでは必ず確認する
- 利用しなくなったサイトはアカウントを削除する
すべてを、ちゃんと実践できている人っているんですかねw
あとは、暗号化されていないページ(SSLではないページ)ではパスワードを入力しないというのもひとつの安全策でしょう。(これもまた過信はできないものですが)
サイト運営者はどうすればいい?
他のサービスへの影響を与えないよう、これまで以上に神経を尖らせていくしかありません。パスワードは平文で保存しないのは超基本です。
適切に塩で味付けされたハッシュ(「ハッシュ salt パスワード」で検索)で保存することで、(あくまでも時間稼ぎでしかないですが)かなり安全になります。とはいえ忘れてはいけないのは、サーバーに不正なプログラムを仕込まれてしまえば生パスワードを盗まれる危険性があるということです。
ニコニコ運営の発表において「調査の結果」と書かれているのは、パスワードはハッシュ化して保存されていて、不正なプログラムを仕掛けられていないことが確認されたということなのでしょう。
もう一つは攻撃を受けたり侵入を受けたことをちゃんと把握出来る仕組みを構築しておくことです。ファイルの一覧を記録しておいて不審な変化がないか確認する、アクセスログを確認して、立て続けにログインを試行するようなアクセスがあればメールが飛ぶように設定しておくとか、でしょうか。
正直、かなり大変です。
もうむりぽ。
というわけで寝ます。
コメント
なくなくなくなくなくない!?
パスワード管理ソフトが紹介されてないのが不満
OPAP-JP(著者)
コメントありがとうございます。
パスワード管理ソフトについてはメリットもありますが、様々なリスクやデメリットがあります。
安全に使うためには、
・そのソフトが本物かどうか
・そのソフトが本当に信用できるものかどうか(パスワードの保存方法の安全性を含む)
・クラウド型であればサービスが突如として終了してしまうことはないか
・マスターパスワードをちゃんと覚えていられるか
・どんな形であれパスワードを普段使いのパソコンで管理するのは果たして安全かどうか
などの点をじっくりと考慮し、検証した上で使用する必要があります。
1番目の点なんかは冗談みたいですが、最近は本当に怪しいですからねw (参照:バッファローのCDN改ざん)
個人的には、すべてのパスワードを特定のソフトに託すことに気持ち悪さを感じているということもあり、パスワード管理ソフトは使用していません。
したがって、特定のソフトをオススメできるほどパスワード管理ソフトを検証しておらず、かといって、不特定のパスワード管理ソフトをオススメするのもリスクが高いと考えており、この記事ではパスワード管理ソフトについての話題を取り上げていません。あくまでも原則的な事項を取り上げるに留めました。
コメントを書き込むにはログインしてください。
(ID:38842779)
パスワード管理ソフトに生成させる