[go: up one dir, main page]
More Web Proxy on the site http://driver.im/



パスワードを忘れた? アカウント作成
14333875 story
セキュリティ

リバースブルートフォース攻撃で狙われやすい暗証番号は? RockYouから流出したパスワードから解析 80

ストーリー by nagazou
心当たりのある人はパスワード変えましょう 部門より
ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ(TechCrunch)。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ(Togetter)。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by fall-ken (14537) on 2020年09月17日 14時51分 (#3890724) 日記

    5963だった。なぜごくろうさんなのか。
    (尚、すでに取り壊されて存在しません

  • by Anonymous Coward on 2020年09月17日 8時18分 (#3890467)

    1015
    1024
    1149
    1815
    6809
    8086
    9000
    9418
    あたりが多いのかな?

  • by Anonymous Coward on 2020年09月17日 9時15分 (#3890497)

    「ピンポイント系」で不明とされているもののうち、1701はエンタープライズ号@スタートレックでしょうかね。
    8246は「キーパッド(?)」に分類されているけど、十字を切っているんじゃないかな。

  • by Anonymous Coward on 2020年09月17日 12時30分 (#3890595)

    ちょっと古いけど1995年週間文集の調べ [fsa.go.jp]だと
    46% 誕生日(自分、家族、他人など)
    18% 電話番号(自宅、実家、彼氏など)
    7% 受験番号
    3% 出席番号
    7% 語呂合わせ(4126よいふろ、2180ニーハオ、0909わくわく、3594三国志、9602苦労人など)

    ほぼ半数が日付という結果に。
    日付は366通りしかないし誕生日ばかりなので、さらに誕生日ランキング [televi.tokyo]で産まれた人の多い日をピックアップしたら一発で当たる確率が高くなる。

    #結婚記念日がランキング外だったのは意外

  • by Anonymous Coward on 2020年09月17日 6時37分 (#3890444)

    4126(よいふろ)とか?

    • by nekopon (1483) on 2020年09月17日 8時24分 (#3890469) 日記
      0123
      // 日経にて連載中
      親コメント
    • by Anonymous Coward

      0721とか4545だろ

      • by Anonymous Coward

        なんか、ダイヤルQ2を彷彿とさせる番号だなw

    • by Anonymous Coward

      とある銭湯のFree WiFiのPSKには1126という数列が含まれていた。

      珍走団なら4649(夜露死苦)かな?

    • by Anonymous Coward

      0930

    • by Anonymous Coward

      駒井悠の漫画で、4桁の番号を決める(暗証番号だったのかなんだか忘れたけど)時に
      「37564(みなごろし)」
      を(桁数違うのに)希望するキャラいたの思い出した。
      そしてそれを読んで「なら『1564(ひとごろし)』にすればよいのに」と思ったことも思い出した。

    • by Anonymous Coward

      (次のストーリーがらみで)9801とか?

  • by Anonymous Coward on 2020年09月17日 6時45分 (#3890447)

    異常アクセス数の検知もしてないようなシステムなら、どんな暗証番号にしてても多少前後しようがすぐ当たるよ。

  • by Anonymous Coward on 2020年09月17日 8時05分 (#3890463)

    日本の大臣だったら良かったのに

    • by Anonymous Coward

      大臣がIT堪能なのはそりゃ結構な事だけど、必須じゃない気もする。
      政府省庁のデジタル化について一つ一つ具体的に提案していくのは、大臣の仕事じゃないべ?
      「一般的な」問題解決の能力とか、人のとりまとめ方とか話の聞き方とかに長けてりゃええやろ。

      原発建てる時には、その時のナントカ大臣は原発建造のエキスパートでなきゃダメかい?とか
      ロケット発射台を建てる時には、ナントカ大臣が宇宙航空の専門家でないとダメかい?とか
      別にそんな事は無いわけで。

      • by Anonymous Coward on 2020年09月17日 10時09分 (#3890524)

        (理想的に機能しているならば)一見問題が無さそうで実はアレな施策とかが
        上がってきた時に疑問を呈することができる可能性は上がる、かも

        親コメント
      • by Anonymous Coward

        大臣は逆に詳しくない方がいい
        ・詳しくないことを自覚しているから、専門家の意見を素直に聞ける
        ・一般人の感覚で対応するから、理想論と現実論を区別できる
        ・IT以外の専門的な知識があれば、物事を別の視点で考えられる

    • by Anonymous Coward

      「こんな事」がリバースブルートフォース攻撃の事なら、それぐらいならできる議員はいるかも。

    • by Anonymous Coward

      てか日本でこの分析をやるのは法的に問題なくない?

  • by Anonymous Coward on 2020年09月17日 9時28分 (#3890506)

    by トレンドマイクロ [yahoo.co.jp]
    リバースブルートフォースおかわりし放題

  • by Anonymous Coward on 2020年09月17日 11時04分 (#3890543)

    完全ランダムでも1/10000で当たるのはセキュリティとしていかがなものか
    今じゃ場末のウェブサービスですら16桁英数記号とか受け付ける時代なんだし、銀行やクレカはパスワードプールもっと広げるべきなのでは

    • by Anonymous Coward on 2020年09月17日 11時56分 (#3890573)

      4桁の暗証番号は、カードという物理的な存在、ATMなどの読み取り機とセットで使うもの。この組み合わせであれば数十年と使われてきているけど大きな問題は起きていない。

      問題は、物理カードや読み取り機が存在しない状況なのに、4桁の暗証番号を使わせようとするアイデアにある。カード・ATMとセットなら4桁で十分で、それ以上にするとセキュリティーと利便性のバランスが崩れる。

      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...