これを書いているヒト

2014年10月1日水曜日

ここ一週間に3件のパスワードリスト攻撃 パスワードの使い回しと辞書に載ってそうな言葉でパスワードをつくるのだけはやめましょう

photo credit: Dev.Arka via photopin cc
なんだろね、ここ数日のWebサービスへの不正ログイン騒ぎは。ヤマト9月25日、佐川9月28日,docomo 9月27日から29日の間(ー_ー;)
手口はすべてパスワードリスト攻撃。
パスワードリスト攻撃なんていわれても、ピンと来ない人がいるかもしれない。要はIDとパスワードに使われそうな文字列を用意しておいて、あとは機械に任せて一気にログインを試すの。
もちろん攻撃はTry & errorの繰り返しだから、受けたサーバは高負荷がかかって、攻撃されるのバレますけどね。割と泥臭い攻撃。

ツールもそーんなに特殊なもんじゃないので、Kali Linux使って実験環境作って試すのもそんなに難しいことじゃない。

パスワードを解読する方法part2 - Linuxによるハッキングの知識 - Yahoo!ブログ







なので、ユーザーが身を守るのにやれることといったら、「辞書に載っていそうなつづりはパスワードには利用しない」「おなじパスワードを異なるサービスにまたがって利用しない」
IDとPWを憶えられるものに、と思うから単純文字列にしちゃうのだろうけど、そもそも全サービスのパスワードを憶え切るのはムリなのだから、どこかに記録させましょう。

個人的にはあまりおすすめはできないけど、こういうノートもあるみたいだし。ほんとうはパスワード管理ソフトとか使ってほしいけど、それ自体がもう敷居が高い、というひともいるもんね。そのかわり、絶対他人の目にふれないところに仕舞って、管理するのが条件だけど。

【楽天市場】パスワード 管理 便利 ノート パスワードブック【 hightide / ハイタイド 】Password Book ミニ ノート パスワード ID メモ 保存 保管 に ★文房具、デザイン雑貨のWakuWaku 代官山:WakuWaku



一方でサーバ管理者は、ユーザーに8文字以上のパスワードを登録してもらうようにID管理テーブルを設計する。単純な時間稼ぎでしかないけどね。8文字のパスフレーズを破るのに1億パターン、12文字で一兆パターン必要なそうだから。6文字で瞬殺されるより、長い文字列で時間稼いでそのうちに攻撃を止める。

そのうちに個人のデバイスレベルでも、生体認証が使える日もくるかもしれないから、それまではベタな方法で自分の情報を守りましょう。

生体認証の活用で「脱パスワード」も視野に:マカフィー、個人向けセキュリティ製品の新版を発表 - @IT






では、また。

【それにしてもよく続いたなあ】

クロネコメンバーズにパスワードリスト攻撃、不正ログイン多発 - ITmedia エンタープライズ





佐川急便でも不正ログイン、運輸・物流業界でパスワードリスト攻撃相次ぐ - ITmedia エンタープライズ






docomo IDに不正ログイン 6072人の個人情報流出の恐れ - ITmedia Mobile




0 コメント :

コメントを投稿

Related Posts Plugin for WordPress, Blogger...