• このエントリーをはてなブックマークに追加
良いパスワードって?ニコニコでリスト型攻撃と思われる不正ログイン発生
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

良いパスワードって?ニコニコでリスト型攻撃と思われる不正ログイン発生

2014-06-11 03:12
  • 4
他社流出パスワードを用いた不正ログインについて
http://notice.nicovideo.jp/ni046768.html
だそうです。

最近この手の話題が多いですね。
流出パスワードを利用したリスト型攻撃が増えているということの現れでしょう。
サイト毎に別々のパスワードを設定するのは基本中の基本なのですが、それでも、いろいろなサイトで別々のパスワードを設定するのは難しかったりしますし、なかなか難しいものです。

どうすればいいの?

使い回しをしていることに心当たりがある方はパスワードの再設定を行いましょう。
心当たりがなくても、万が一ニコニコから流出している可能性も考えて、再設定することをオススメします。

どんなパスワードがいいの?

実際の所、いくらパスワードを再設定していても悪いパスワードを設定していれば、意味がありません。ニコニコのパスワードの再設定をするついでに、良いパスワードについて考えてみましょう。

まず、良いパスワードというのは、以下のような要件を満たす必要があります。
  • 英字大文字、英字小文字、数字、記号を不規則に混ぜる
  • 長さは最低でも8文字、できれば10文字以上はあったほうがよい
  • 名前、ユーザー名、誕生日、ナンバープレートなど推測されやすいものは使わない
  • 辞書に載っている単語は使わない
  • 良く知られた数列(円周率、自然対数の底、フィボナッチ数列など)は使わない

例えば、『G5y-3Y!XTn』のようなパスワードですね。
(注:このパスワードは使わないでください)

ちなみに、o(オー)を0(ゼロ)に置き換えるなどの古典的な置き換えはあまり効果的ではありません。覚えやすく、かつ、安全なパスワードの作り方はググれば沢山情報が出てきますので、参考にしてみるのもありかもしれません。

え、こんなパスワードをサイト毎に作るの? 覚えられなくなくなくなくなくない?

こんなパスワードをサイト毎につくって設定するなんてなんて……。
正直、覚えられませんよね。

そこでオススメしたいのが、上記の『良いパスワード』を工夫して使い回す方法です。
ただし、本当はこれで十分に強いというわけではなく、様々な流出リストを突合されると法則性がバレてしまう程度のものですが、やらないよりはマシという方法です。

先ほど考えたパスワードは『G5y-3Y!XTn』でした。
これに手を加えます。

例えば、

nicovideo.jpの場合『nG5y-3Y!XTno
rakuten.co.jpの場合『rG5y-3Y!XTnn
google.comの場合『gG5y-3Y!XTne

ドメイン名(TLD除く)の頭の文字をパスワードの先頭に、最後の文字をパスワードの最後にくっつけるという方法です。これならなんとか覚えられそうです。

もう一歩進めて、ドメイン名の文字数を付け加える、奇数文字目を大文字にする、先頭と最後ではなく「y」や「Y」の場所を置き換えるなど、色々工夫はできます。

繰り返しになりますが、複数サービスでパスワードがバレた場合は、IDやその他の情報と突合されて法則性を調べられて終わり、なんてことが予想されますが、一箇所から流出しただけならば被害範囲を抑えられるという利点があります。

もっと安全にするには?


もはやユーザー・パスワード方式での認証は弱いと言わざるを得ないのですが、手軽な代替の方法があまりありません。

  • 二要素認証が使えるサイトでは二要素認証を使う
  • パスワードを1年ごとに変更する
    (せめて、年齢に関連した数字を一定の規則でパスワードに混ぜる等)
  • ログイン履歴が確認できるサイトでは必ず確認する
  • 利用しなくなったサイトはアカウントを削除する
など、正直面倒な方法しかありません。
すべてを、ちゃんと実践できている人っているんですかねw

あとは、暗号化されていないページ(SSLではないページ)ではパスワードを入力しないというのもひとつの安全策でしょう。(これもまた過信はできないものですが)

サイト運営者はどうすればいい?

他のサービスへの影響を与えないよう、これまで以上に神経を尖らせていくしかありません。

パスワードは平文で保存しないのは超基本です。
適切に塩で味付けされたハッシュ(「ハッシュ salt パスワード」で検索)で保存することで、(あくまでも時間稼ぎでしかないですが)かなり安全になります。とはいえ忘れてはいけないのは、サーバーに不正なプログラムを仕込まれてしまえば生パスワードを盗まれる危険性があるということです。

ニコニコ運営の発表において「調査の結果」と書かれているのは、パスワードはハッシュ化して保存されていて、不正なプログラムを仕掛けられていないことが確認されたということなのでしょう。

もう一つは攻撃を受けたり侵入を受けたことをちゃんと把握出来る仕組みを構築しておくことです。ファイルの一覧を記録しておいて不審な変化がないか確認する、アクセスログを確認して、立て続けにログインを試行するようなアクセスがあればメールが飛ぶように設定しておくとか、でしょうか。

正直、かなり大変です。
もうむりぽ。



というわけで寝ます。

コメント コメントを書く

パスワード管理ソフトに生成させる

No.1 127ヶ月前

なくなくなくなくなくない!?

No.2 127ヶ月前

パスワード管理ソフトが紹介されてないのが不満

No.3 127ヶ月前
userPhoto OPAP-JP(著者)

コメントありがとうございます。

パスワード管理ソフトについてはメリットもありますが、様々なリスクやデメリットがあります。
安全に使うためには、

・そのソフトが本物かどうか
・そのソフトが本当に信用できるものかどうか(パスワードの保存方法の安全性を含む)
・クラウド型であればサービスが突如として終了してしまうことはないか
・マスターパスワードをちゃんと覚えていられるか
・どんな形であれパスワードを普段使いのパソコンで管理するのは果たして安全かどうか

などの点をじっくりと考慮し、検証した上で使用する必要があります。
1番目の点なんかは冗談みたいですが、最近は本当に怪しいですからねw (参照:バッファローのCDN改ざん)

個人的には、すべてのパスワードを特定のソフトに託すことに気持ち悪さを感じているということもあり、パスワード管理ソフトは使用していません。

したがって、特定のソフトをオススメできるほどパスワード管理ソフトを検証しておらず、かといって、不特定のパスワード管理ソフトをオススメするのもリスクが高いと考えており、この記事ではパスワード管理ソフトについての話題を取り上げていません。あくまでも原則的な事項を取り上げるに留めました。

No.4 127ヶ月前
コメントを書く
コメントをするにはログインして下さい。