日本人の漏洩パスワードランキング 危険すぎる最悪パスワードは今年も懲りずに同じ文字列 [愛の戦士★]
レス数が1000を超えています。これ以上書き込みはできません。
FNNプライムオンライン 2/11(金) 18:21
危険すぎる「最悪パスワード」
あらゆる場面で求められ、生活に欠かせない「パスワード」。単純すぎるパスワードを使っている人はまだ多いようだ。
今週発表された漏れてしまったパスワードのランキング。これは、セキュリティー企業「ソリトンシステムズ」が、1年間で起きた209件の情報漏洩事件から日本人が使いがちなパスワードを分析したものだ。
2021年も「123456」や「password」が突破されやすいパスワードであると呼びかけたが…今年も「password」が2位にランクイン。
そして、1位はこれまた「123456」。単純なパスワードにまだ懲りていないようだ。前回“最悪のパスワード”と呼ばれたものがまだ多く使われていて2年連続“不名誉の金メダル”となった。
そんな中、複雑に見えるパスワード「1qaz2wsx」が8位から4位にランクアップ。キーボードで打ってみると「1」「Q」「A」「Z」はタテに並んでいるのがわかる。同じように「2」「W」「S」「X」もタテに押すだけ。打ちやすくても、漏洩したら意味がない。
街では「使い回し」「アイドル」
街の人も、パスワード問題には悩まされているようで…
30代女性「不正ログインされたことあります。ネットフリックスのアカウントが1つ増えていた。SNSもログインされて投稿されたことある同じパスワードを使い回していたのがよくなかった」
20代女性「そのときに推してたアイドルの名前とか入れていて、あれ?そのとき誰を推してたっけ?みたいなパスワードにしちゃったことあります。結構、推し変遷が激しくて」
街の声にもあったが、大好きな有名人の名前など使いたくなるが、最悪のパスワードになってしまう。例えば、人気アニメのdraemon(ドラえもん)や、国民的アイドルのarashi(嵐)や花の前のhimawari(ひまわり)、日本文化のsamurai(侍)なども見破られやすいという。
最強パスワードの作り方
では、どうしたら情報漏洩を防ぐことができるのか。専門家の中央大学国際情報学部・岡嶋裕史教授に聞いた。最強のパスワードとは(1)長くて複雑、(2)意味のない文字列だという。
では、どうやって意味のない文字列を作ればいいのかは、まず好きな文章を作る。
例えば「私は18歳で長野から東京に来ました」
これを「卵かけご飯の法則」、TKGなどと言われるがそのルールでローマ字に変換すると「Watashi ha 18 sai de Ngagano kara Tokyo ni kimashita」となる。
この頭文字をつなげていくと、「Wh18sdNkTnk」意味のない文字列になる。便利なネットサービス拡大しているからこそ、被害に遭わない単純なパスワードを使わないことが大切となる。
イット!
https://approach.yahoo.co.jp/r/QUyHCH?src=https://news.yahoo.co.jp/articles/ea9949c0bf2dcb2dc6c4b784b5e8efc988709479&preview=auto
https://i.imgur.com/R3GCP15.jpg >>73
本人なのに…通らない事が有る
指紋認証並みだよ… それだけ皆に愛されているパスワードなんだから否定ばっかりしてないで認めていく方向でいいだろ
それ使ってなおかつうまくやるようにソフト側が変えていけよ
2段階認証とかそこに生体認証使うとかやり方色々あんだろ
つーかもうデフォルトで一位の一位のパスワードを入力Boxに入れてあげる、ぐらいのユーザーフレンドリーなのがあってもいいと思うの >>188
wasurenai
なんてよしておけよw 日本のサーバは2バイト文字(漢字)もOKにすればいいのにね 当たり前のようにハッキングされてあまり気にしなくなったw 行動的生体認証とかいうやつが研究されててなんか同じパスワード入れても本人しか通用しなくなるように出来るらしい
知らんけど PCのログインパスをtestにしてるけど何も漏洩したことないよ
むしろ複雑にしてるネットショップでクレカ番号ホイホイ流出すんのほんまなんなん? パスワードを廃止して指紋や顔認証にして欲しいよな
顔認証も今はまだ登録に時間がかかり過ぎ ロシア語をローマ字と数字で書いてる(偽キリル文字の逆) 上でも言ってるが、具体的には「サイト/ID」か「サイト/メアド」を生成元として、
ソルト+ストレッチングの考え方でハッシュ値を計算して
それをbase64等で文字列化してパスワード条件に合うやつを決定してるが
この方法なら生成アルゴリズムとっとけば、サイトと登録メアドは覚えておいて復元可能だろう
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する
サイト側で取れる対策について説明します。
対策1:ソルト
サイト側の対策として、まずソルト(Salt)は必ず採用すべきです。
ソルトというのは、ハッシュ値を計算する前にパスワードの前後に付け加える短い文字列です。 ソルト化ハッシュ = hash(パスワード + ソルト)
ソルトによる効果は以下の通りです。
同じパスワードを付けていても、ハッシュ値は異なるようにできる
ハッシュ値の元となる文字列を長くすることにより、レインボーテーブル探索を妨害する
ソルトを使うと、レインボーテーブルに対しては絶大な効果を発揮しますが、総当たり攻撃に対してほとんど効果はありません。
このため、次に説明するストレッチングという方法を併用します。
対策2:ストレッチング
ストレッチングというのは、ハッシュ値の計算を何回も(1000回〜数万回程度)繰り返すことです。
一般にハッシュ関数は高速性を求められますが、この高速性は総当たり攻撃に対しては脆弱な方向に働きます。
高速なハッシュを繰り返し用いることで速度を遅くするというのが、ストレッチングの考え方です。
仮にストレッチングを1万回とすると、先に紹介した「8文字英数字のパスワード」のハッシュ値をすべて求めるのには30万時間、約34年かかることになります。
攻撃者によってすべての情報が盗まれるという前提に立つと、パスワードを安全に守る現状のベストプラクティスは「ソルト+ハッシュ+ストレッチング」です。
https://atmarkit.itmedia.co.jp/ait/articles/1110/06/news154_3.html 今はユーザー側の入力がある時点で盗まれてるので無意味 銀行のキャッシュカードなんて数字4桁でもう何十年も変えてないけど、ただの一度も不正引き出しされたことない。 これは有名だが、しばらくはバレてなかったんだよな
ユーザー側で怪しい通信がないかを監視して通報するしかないのか、なかなか難しいが
ペニーオークション詐欺事件 - Wikipedia
2012年10月から11月にかけて、スマートフォンから個人情報を抜き取るコンピュータウイルス作成に関与したとして、不正指令電磁的記録に関する罪の容疑で、
出会い系サイト運営会社役員1人と社員3人を逮捕し、その際に押収した証拠データを解析した結果、ペニオクサイトの仕組みが判明して詐欺発覚のきっかけとなった。
これは、スマートフォンの「電池長持ちアプリ」などの名目で無料アプリを配布し、アプリにマルウェアを仕込んでスマートフォン内の電話帳データを抜き取り、ペニーオークションへ勧誘するスパムメールを送信していたというもの。
違法アプリの摘発からペニオク詐欺の実態が明らかになり、運営者に対する詐欺事件での立件につながった。 メモをとってもバレない仕組みにするだけやんな?
例 住友銀行なら住ジョーダンでオッケー
ジョーダン誕生日と特定の誰かの誕生日足し引き好きにしてその人の英語頭文字たすだけ >>934
UnGoogledブラウザなんかデフォで無効にしてあるからね。勝手に海外クラウドなんかにデータ保管されたくないよね。IEなんかはOSのプロテクトストレージて領域に勝手にパスの記録してて海外のツールで覗き見れたし激ヤバだった。 センズリをオナニーと呼ぶ輩はヘタレ
セse オo ヘhe
se o he
0721
0se7o21he スマホじゃなくガラケー(ネットには繋いでいない)の自分は
あまり心配してない。 ハッキングって無作為に文字列入れていくんじゃ無いんだ? パスワードは、全部違うのにしなさいとか、記号、数字、大小文字混ぜて何文字以上とか言われてもな。何か規則性を持たせて置かないと、覚えられない。パスワード管理アプリとか、怖すぎだし。 >>983
ブルートフォースはミス回数でストップするから
辞書アタックの方が合理的だろうね まずいのはわかっているけど
ほぼすべてのパスワード同じだわ >>984
オレは、パスワードのサイトに関するアルファベット4文字と数字4桁を交互に並べるようにしてるな
例えばクレカのサイトなら、VISAって単語と有効期限を混ぜてV0I4S2A4みたいな
たまに忘れるけどねw >>18
ワイはタトゥーで刻んでるわ
もうそろそろ目で追えない場所に書かざるを得ないから辛い 三大包茎トリオ
ザ・ポォーケェーズ
江戸皮魔茶美(佐藤正美)
腹刺しカッキー(堀越忠男)
繰り返ししゃっチン(住本大輔)
生きる価値がない三個のゴミクズ
3EMSMHKHTKSSD pasuwadoなら意外とセキュリティしっかりしてるんじゃね? >>8
ピコン「アルファベットの大文字、小文字、数字、記号を使って下さい」
んで最初から入力し直し。 >>986
俺もだな
3つぐらいの使いまわしだから
忘れてもどれかにしたら通る コロナだって痛い目見るまで改め無い派が多いから
そんなもんじゃ無い >>1
Wh18sdNkTnk
かなりの若者でもカンニングペーパーが必要だろうな ベンダーのサポート用アカウントのパスワードは大抵社名だなw 世界ランキングだと 123456〜 が1位・2位で、その次がqwertyだったっけな
どこの国でも 12345... はだめだってことだね つーか今どきはパスワードなしの認証以外はもう安心できないか
入力時点で抜かれてると思った方がいいぐらいかもしれんね 財布に入れたパスワード一覧表をなくして大変なことになった経験ならある。 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 3日 15時間 59分 49秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。