• このエントリーをはてなブックマークに追加

BlackbBlackbさん のコメント

なくなくなくなくなくない!?
No.2
126ヶ月前
このコメントは以下の記事についています
他社流出パスワードを用いた不正ログインについて http://notice.nicovideo.jp/ni046768.html だそうです。 最近この手の話題が多いですね。 流出パスワードを利用したリスト型攻撃が増えているということの現れでしょう。 サイト毎に別々のパスワードを設定するのは基本中の基本なのですが、それでも、いろいろなサイトで別々のパスワードを設定するのは難しかったりしますし、なかなか難しいものです。 どうすればいいの? 使い回しをしていることに心当たりがある方はパスワードの再設定を行いましょう。 心当たりがなくても、万が一ニコニコから流出している可能性も考えて、再設定することをオススメします。 どんなパスワードがいいの? 実際の所、いくらパスワードを再設定していても悪いパスワードを設定していれば、意味がありません。ニコニコのパスワードの再設定をするついでに、良いパスワードについて考えてみましょう。 まず、良いパスワードというのは、以下のような要件を満たす必要があります。 英字大文字、英字小文字、数字、記号を不規則に混ぜる 長さは最低でも8文字、できれば10文字以上はあったほうがよい 名前、ユーザー名、誕生日、ナンバープレートなど推測されやすいものは使わない 辞書に載っている単語は使わない 良く知られた数列(円周率、自然対数の底、フィボナッチ数列など)は使わない 例えば、『G5y-3Y!XTn』のようなパスワードですね。 (注:このパスワードは使わないでください) ちなみに、o(オー)を0(ゼロ)に置き換えるなどの古典的な置き換えはあまり効果的ではありません。覚えやすく、かつ、安全なパスワードの作り方はググれば沢山情報が出てきますので、参考にしてみるのもありかもしれません。 え、こんなパスワードをサイト毎に作るの? 覚えられなくなくなくなくなくない? こんなパスワードをサイト毎につくって設定するなんてなんて……。 正直、覚えられませんよね。 そこでオススメしたいのが、上記の『良いパスワード』を工夫して使い回す方法です。 ただし、本当はこれで十分に強いというわけではなく、様々な流出リストを突合されると法則性がバレてしまう程度のものですが、やらないよりはマシという方法です。 先ほど考えたパスワードは『G5y-3Y!XTn』でした。 これに手を加えます。 例えば、 n icovide o .jpの場合『 n G5y-3Y!XTn o 』 r akute n .co.jpの場合『 r G5y-3Y!XTn n 』 g oogl e .comの場合『 g G5y-3Y!XTn e 』 ドメイン名(TLD除く)の頭の文字をパスワードの先頭に、最後の文字をパスワードの最後にくっつけるという方法です。これならなんとか覚えられそうです。 もう一歩進めて、ドメイン名の文字数を付け加える、奇数文字目を大文字にする、先頭と最後ではなく「y」や「Y」の場所を置き換えるなど、色々工夫はできます。 繰り返しになりますが、複数サービスでパスワードがバレた場合は、IDやその他の情報と突合されて法則性を調べられて終わり、なんてことが予想されますが、一箇所から流出しただけならば被害範囲を抑えられるという利点があります。 もっと安全にするには? もはやユーザー・パスワード方式での認証は弱いと言わざるを得ないのですが、手軽な代替の方法があまりありません。 二要素認証が使えるサイトでは二要素認証を使う パスワードを1年ごとに変更する (せめて、年齢に関連した数字を一定の規則でパスワードに混ぜる等) ログイン履歴が確認できるサイトでは必ず確認する 利用しなくなったサイトはアカウントを削除する など、正直面倒な方法しかありません。 すべてを、ちゃんと実践できている人っているんですかねw あとは、暗号化されていないページ(SSLではないページ)ではパスワードを入力しないというのもひとつの安全策でしょう。(これもまた過信はできないものですが) サイト運営者はどうすればいい? 他のサービスへの影響を与えないよう、これまで以上に神経を尖らせていくしかありません。 パスワードは平文で保存しないのは超基本です。 適切に塩で味付けされたハッシュ(「ハッシュ salt パスワード」で検索)で保存することで、(あくまでも時間稼ぎでしかないですが)かなり安全になります。とはいえ忘れてはいけないのは、サーバーに不正なプログラムを仕込まれてしまえば生パスワードを盗まれる危険性があるということです。 ニコニコ運営の発表において「調査の結果」と書かれているのは、パスワードはハッシュ化して保存されていて、不正なプログラムを仕掛けられていないことが確認されたということなのでしょう。 もう一つは攻撃を受けたり侵入を受けたことをちゃんと把握出来る仕組みを構築しておくことです。ファイルの一覧を記録しておいて不審な変化がないか確認する、アクセスログを確認して、立て続けにログインを試行するようなアクセスがあればメールが飛ぶように設定しておくとか、でしょうか。 正直、かなり大変です。 もうむりぽ。 というわけで寝ます。
こうしす!通信
(C)OPAP-JP contributors.

https://opap.jp/contributors



自主制作アニメ「こうしす!」関連情報、情報セキュリティ講座、制作日誌などを発信しています! 



本チャンネルの記載内容について、OPAP-JPは一切保証しないものとします。また、本チャンネルの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本チャンネルの著者も発行者も一切責任を負わないものとします。