リバースブルートフォース攻撃で狙われやすい暗証番号は? RockYouから流出したパスワードから解析 80
ストーリー by nagazou
心当たりのある人はパスワード変えましょう 部門より
心当たりのある人はパスワード変えましょう 部門より
ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。
通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ(TechCrunch)。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ(Togetter)。
ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。
なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。
通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ(TechCrunch)。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ(Togetter)。
ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。
なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。
以前の寮 (スコア:2)
5963だった。なぜごくろうさんなのか。
(尚、すでに取り壊されて存在しません
アレゲなら (スコア:1)
1015
1024
1149
1815
6809
8086
9000
9418
あたりが多いのかな?
Re:アレゲなら (スコア:1)
// 「9998までは試したのだが…」
Re: (スコア:0)
9999はテスト用に使うので設定禁止です!
#そんなシステムは、ない!
Re: (スコア:0)
せっかくなら9998だろう
Re: (スコア:0)
トランジスタ (was Re:アレゲなら) (スコア:2)
1015, 1024, 1815は日付や西暦になるので避けるはず。
1815は2SC1815フリークならありかも知れぬ。
死して屍 拾う者なし
Re:トランジスタ (was Re:アレゲなら) (スコア:1)
// 1588とか3055/2955とかもどうか
Re: (スコア:0)
じゃ俺0945
Re: (スコア:0)
Re: (スコア:0)
統計的に使用頻度が高いのは、1940~2010くらいなので、
それ以外なら使っても問題ないはず
Re: (スコア:0)
8251(SIO)とか8255(PIO)とか8910(PSG)とか。
ピンポイント系 (スコア:1)
「ピンポイント系」で不明とされているもののうち、1701はエンタープライズ号@スタートレックでしょうかね。
8246は「キーパッド(?)」に分類されているけど、十字を切っているんじゃないかな。
ほとんどが日付の暗証番号 (スコア:1)
ちょっと古いけど1995年週間文集の調べ [fsa.go.jp]だと
46% 誕生日(自分、家族、他人など)
18% 電話番号(自宅、実家、彼氏など)
7% 受験番号
3% 出席番号
7% 語呂合わせ(4126よいふろ、2180ニーハオ、0909わくわく、3594三国志、9602苦労人など)
ほぼ半数が日付という結果に。
日付は366通りしかないし誕生日ばかりなので、さらに誕生日ランキング [televi.tokyo]で産まれた人の多い日をピックアップしたら一発で当たる確率が高くなる。
#結婚記念日がランキング外だったのは意外
国内なら (スコア:0)
4126(よいふろ)とか?
Re:国内なら (スコア:1)
// 日経にて連載中
Re: (スコア:0)
0721とか4545だろ
Re: (スコア:0)
なんか、ダイヤルQ2を彷彿とさせる番号だなw
Re: (スコア:0)
とある銭湯のFree WiFiのPSKには1126という数列が含まれていた。
珍走団なら4649(夜露死苦)かな?
Re: (スコア:0)
5963
Re: (スコア:0)
0930
Re: (スコア:0)
駒井悠の漫画で、4桁の番号を決める(暗証番号だったのかなんだか忘れたけど)時に
「37564(みなごろし)」
を(桁数違うのに)希望するキャラいたの思い出した。
そしてそれを読んで「なら『1564(ひとごろし)』にすればよいのに」と思ったことも思い出した。
Re: (スコア:0)
(次のストーリーがらみで)9801とか?
8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:0)
異常アクセス数の検知もしてないようなシステムなら、どんな暗証番号にしてても多少前後しようがすぐ当たるよ。
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:1)
異常アクセス検知だったり暗証番号数回間違えたらロックされる程度の低いセキュリティだと、偏り情報があると非常に効率よく攻撃できる
Re: (スコア:0)
検知システムくわしくないんだけど、パスワードスプレー攻撃でも検知はできるもの?アカウント一件あたりの試行回数は少なくなるんですよね?
Re: (スコア:0)
リバースブルートフォース対策は、同一IPアドレスからの失敗繰り返しで、そのIPアドレスを遮断する、とかですね。
で、特定IPアドレス遮断は、DDoSのようにアクセス元が分散されたらもう検知できない。
そんな場合でも、ブラウザの指紋とか使えば対策できそうだけど、そういう検知をやってるところがあるかは知らない。
攻撃側も本当のブラウザでアクセスするわけじゃないから、指紋が変わるようにリクエスト情報に乱数要素をいれたら、それでもどうしようもないかな。
Re: (スコア:0)
攻撃が始まったら失敗回数が跳ね上がるから検知はできるのでは。でも検知できたとしてどうするんだろう?
ログイン止めたらサービス止めるのと同じだし。
BOT群からのIPアドレス遮断を厳しくやると、BOTに寄生されたアホは自業自得としても、
無関係のユーザがIPSごと影響が出そうだし、2chみたいな巻き添えと思われるアクセス拒否を経験したこともない。
大手は常にそういう攻撃にさらされていると思うから、何かしら方法はあるんだと思うけど。
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:2)
ログイン成功でも失敗でも1秒ぐらいは時間がかかるようにするだけでもだいぶ効果ありそう
攻撃受けてるときならばもちょっと伸ばしてもいいか
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:1)
同一IPならね。そうじゃないなら、リバースの場合は1回しかトライしないから遅延は効果ない。
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:2)
正規ユーザも含め全部遅らせるっていうアイデアです
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:2)
単位時間あたりのクラック成功数がかなり減ると思いますよ
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:2)
そら攻撃回数が同じならね
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:2)
全通り試すのに十分なぐらいセッションが使われてればそうなんですけど、
100台とかで期待クラック時間が数分、とかの時は効きそうな気がしません?
0.1秒が1秒になれば10倍クラックにかかる時間が伸びますし
何なら「セキュリティ確認中です…」とか出して10秒かけたっていいかも
Re: (スコア:0)
IPの検知・自動遮断は、実際組み込んだこともある(商用サービス)。
Re: (スコア:0)
遮断の期間は数時間とか?それぐらいなら遮断されたアドレスを割り振られた無関係のユーザが拒否られることも少なそう。
Re: (スコア:0)
昨今話題の銀行のシステムは異常なアクセスに対する検知と遮断をやってます。
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:1)
その検知が難しい
こんな事が出来る優秀なハッカーが (スコア:0)
日本の大臣だったら良かったのに
Re: (スコア:0)
大臣がIT堪能なのはそりゃ結構な事だけど、必須じゃない気もする。
政府省庁のデジタル化について一つ一つ具体的に提案していくのは、大臣の仕事じゃないべ?
「一般的な」問題解決の能力とか、人のとりまとめ方とか話の聞き方とかに長けてりゃええやろ。
原発建てる時には、その時のナントカ大臣は原発建造のエキスパートでなきゃダメかい?とか
ロケット発射台を建てる時には、ナントカ大臣が宇宙航空の専門家でないとダメかい?とか
別にそんな事は無いわけで。
Re:こんな事が出来る優秀なハッカーが (スコア:1)
(理想的に機能しているならば)一見問題が無さそうで実はアレな施策とかが
上がってきた時に疑問を呈することができる可能性は上がる、かも
Re: (スコア:0)
大臣は逆に詳しくない方がいい
・詳しくないことを自覚しているから、専門家の意見を素直に聞ける
・一般人の感覚で対応するから、理想論と現実論を区別できる
・IT以外の専門的な知識があれば、物事を別の視点で考えられる
Re: (スコア:0)
「こんな事」がリバースブルートフォース攻撃の事なら、それぐらいならできる議員はいるかも。
Re: (スコア:0)
てか日本でこの分析をやるのは法的に問題なくない?
Re: (スコア:0)
マスゴミガーとでも言うべきか?
自分も同類に片足突っ込んでることに気付いたほうがいい。
Re: (スコア:0)
「マスゴミガー」という言葉は使えない。なぜならマスコミはそれが仕事だからだ。
Re: (スコア:0)
「マスゴミガー」はマスコミ自体ではなく、「マスコミを『マスゴミ』と呼んで叩く人」のことだと思います。
暗証番号は定期的に変えましょう (スコア:0)
by トレンドマイクロ [yahoo.co.jp]
リバースブルートフォースおかわりし放題
いい加減4桁数字は弱すぎる (スコア:0)
完全ランダムでも1/10000で当たるのはセキュリティとしていかがなものか
今じゃ場末のウェブサービスですら16桁英数記号とか受け付ける時代なんだし、銀行やクレカはパスワードプールもっと広げるべきなのでは
Re:いい加減4桁数字は弱すぎる (スコア:2, すばらしい洞察)
4桁の暗証番号は、カードという物理的な存在、ATMなどの読み取り機とセットで使うもの。この組み合わせであれば数十年と使われてきているけど大きな問題は起きていない。
問題は、物理カードや読み取り機が存在しない状況なのに、4桁の暗証番号を使わせようとするアイデアにある。カード・ATMとセットなら4桁で十分で、それ以上にするとセキュリティーと利便性のバランスが崩れる。