日本人の漏洩パスワードランキング 危険すぎる最悪パスワードは今年も懲りずに同じ文字列 [愛の戦士★]
レス数が1000を超えています。これ以上書き込みはできません。
FNNプライムオンライン 2/11(金) 18:21
危険すぎる「最悪パスワード」
あらゆる場面で求められ、生活に欠かせない「パスワード」。単純すぎるパスワードを使っている人はまだ多いようだ。
今週発表された漏れてしまったパスワードのランキング。これは、セキュリティー企業「ソリトンシステムズ」が、1年間で起きた209件の情報漏洩事件から日本人が使いがちなパスワードを分析したものだ。
2021年も「123456」や「password」が突破されやすいパスワードであると呼びかけたが…今年も「password」が2位にランクイン。
そして、1位はこれまた「123456」。単純なパスワードにまだ懲りていないようだ。前回“最悪のパスワード”と呼ばれたものがまだ多く使われていて2年連続“不名誉の金メダル”となった。
そんな中、複雑に見えるパスワード「1qaz2wsx」が8位から4位にランクアップ。キーボードで打ってみると「1」「Q」「A」「Z」はタテに並んでいるのがわかる。同じように「2」「W」「S」「X」もタテに押すだけ。打ちやすくても、漏洩したら意味がない。
街では「使い回し」「アイドル」
街の人も、パスワード問題には悩まされているようで…
30代女性「不正ログインされたことあります。ネットフリックスのアカウントが1つ増えていた。SNSもログインされて投稿されたことある同じパスワードを使い回していたのがよくなかった」
20代女性「そのときに推してたアイドルの名前とか入れていて、あれ?そのとき誰を推してたっけ?みたいなパスワードにしちゃったことあります。結構、推し変遷が激しくて」
街の声にもあったが、大好きな有名人の名前など使いたくなるが、最悪のパスワードになってしまう。例えば、人気アニメのdraemon(ドラえもん)や、国民的アイドルのarashi(嵐)や花の前のhimawari(ひまわり)、日本文化のsamurai(侍)なども見破られやすいという。
最強パスワードの作り方
では、どうしたら情報漏洩を防ぐことができるのか。専門家の中央大学国際情報学部・岡嶋裕史教授に聞いた。最強のパスワードとは(1)長くて複雑、(2)意味のない文字列だという。
では、どうやって意味のない文字列を作ればいいのかは、まず好きな文章を作る。
例えば「私は18歳で長野から東京に来ました」
これを「卵かけご飯の法則」、TKGなどと言われるがそのルールでローマ字に変換すると「Watashi ha 18 sai de Ngagano kara Tokyo ni kimashita」となる。
この頭文字をつなげていくと、「Wh18sdNkTnk」意味のない文字列になる。便利なネットサービス拡大しているからこそ、被害に遭わない単純なパスワードを使わないことが大切となる。
イット!
https://approach.yahoo.co.jp/r/QUyHCH?src=https://news.yahoo.co.jp/articles/ea9949c0bf2dcb2dc6c4b784b5e8efc988709479&preview=auto
https://i.imgur.com/R3GCP15.jpg windows10でkali linuxを一般ユーザーでやっている人っているの? >>901
「19911005」と意味は同じだから覚えやすいだろ。 前に乗ってたバイクのフレームナンバーを順番に使ってるわ。 自分に一番無縁なものをパスワードにしてるから問題ないな >>845
その程度の縛りなら>>816ベースで記号だけいくつか腹案用意しておけば対応出来そうだけどな
尚我が家は個別にランダム生成で統合管理 企業の業務で使うものなんかの場合、パスワードを定期的に変更なんかさせるよりも認証方式を期限付きの個人認証鍵ファイル(デジタル証明書)とパスワードの2要素認証にすればいいんだよ
流出しても紐付いたアカウント以外は影響受けないしアカウントレベルで無効化する方法もある
アカウント管理も上手くやれば簡単になる
俺はやりたくないけどなw >>815
だから使えるパスワードマネージャに任せて自分の記憶には頼らないのが楽なんだよ
bitwardenはお勧めだ ローマ字だとすぐ長くなるからコクのあるパスワード作れんかったけど
母音をカットすればある程度長い文章でも作れるな >>914
chromeの機能なんて怖くて使えない
俺はブラウザのパスワード管理は全部殺すのがデフォ
bitwardenはchromeその他のブラウザの拡張機能を作っているから同じようにも使えるしもっと高度な使い方もある >>916
Chromeは怖いけど他のアプリなら怖くないって意味不明 pentagon_kill_you
とかにしとけば、ちょっとビビるんじゃないかな? >>920
みたいなので全く同じ書き込みってはずかしいよね 個人情報のやり取りでまだメール使っている所もあるのに、
何故kali linuxの話し行けたのか謎すぎる パスワードは物凄くどうでもいい所以外はPCスマホ両方keepass使ってるわ
文字数制限に合わせて自動生成してるけど難点は自分で覚えられない所だな
つーかソリトンはいい加減株価上げてくれよ センズリをオナニーと呼ぶ輩はヘタレ
se o he 0721 しかしまあいつも思うけどさ
ITセキュリティとか暗号理論とか
そういうのは全然知らんけどねえ
例えばネットにおける特定サービスの限定領域のパスワードとかよりも
負けず劣らず大事な虎の子たる銀行預金の街場のATMとかあるじゃないですか
あれはさ、キャッシュカード(or通帳)という物理的ガジェットが必要にせよ
暗証番号何桁ですか? 文字は使えるんですか? これすごいことだよねwww >>926
生体認証つけてないの?
そもそもATMほとんど使わなくね? 必ず記号を入れろってのも落とし穴があってね。
OSが日本語キーボードを英語キーボードと誤認識してしまってると、絶対正しいパスワードを入れてるはずなのに弾かれるを繰り返してパスワードロックされる。
画面には*しか出ないから気づかないんだよな。 >>928
CAPSロックやカナで十分同じことがおこる 電車の形式とかアルファベットも数字も記号も入れられていいぞ ヴァーチャルボックスとwin-kexの違いは何なん? >>918
いや他のなんて使わんの前提なのわかるだろChromeは保存するか聞かれるから弾いてるだけで
俺も抜かれた時の被害怖すぎて何も使えんわちょっと何とかしたい バレるのは同じアカウント名、パスワードで複数登録してるからじゃね? >>934
昨日の>>916か?全く意味が分からないのだが
他のソフト(bitwarden)は安全安心で全幅の信頼を置くことが出来る
でもブラウザ(Chrome)はまったく信頼出来ない
って言ってるお前の理由にまったくなってないんだけど>>916 パスワード自動生成してパスワード管理アプリに登録すればいいやん
覚えるのはそのアプリの起動パスワードだけや Chromeの保存って、googleのアカウントに記録してるだけでは?
ローカルにはないのでは? 鍵が掛かっているからって中身が入ってる訳じゃないのになw >>1
> では、どうやって意味のない文字列を作ればいいのかは、まず好きな文章を作る。
> 例えば「私は18歳で長野から東京に来ました」
このやり方で使いまわししないでパスワード作ってたらとうてい覚えられんが パスワード生成法を固定しておき、
文字列「サイト名/ID」を元にパスワードを生成すればいいだろうと パスワード管理アプリのパスワードは123456でいいの? >>73
本人なのに…通らない事が有る
指紋認証並みだよ… それだけ皆に愛されているパスワードなんだから否定ばっかりしてないで認めていく方向でいいだろ
それ使ってなおかつうまくやるようにソフト側が変えていけよ
2段階認証とかそこに生体認証使うとかやり方色々あんだろ
つーかもうデフォルトで一位の一位のパスワードを入力Boxに入れてあげる、ぐらいのユーザーフレンドリーなのがあってもいいと思うの >>188
wasurenai
なんてよしておけよw 日本のサーバは2バイト文字(漢字)もOKにすればいいのにね 当たり前のようにハッキングされてあまり気にしなくなったw 行動的生体認証とかいうやつが研究されててなんか同じパスワード入れても本人しか通用しなくなるように出来るらしい
知らんけど PCのログインパスをtestにしてるけど何も漏洩したことないよ
むしろ複雑にしてるネットショップでクレカ番号ホイホイ流出すんのほんまなんなん? パスワードを廃止して指紋や顔認証にして欲しいよな
顔認証も今はまだ登録に時間がかかり過ぎ ロシア語をローマ字と数字で書いてる(偽キリル文字の逆) 上でも言ってるが、具体的には「サイト/ID」か「サイト/メアド」を生成元として、
ソルト+ストレッチングの考え方でハッシュ値を計算して
それをbase64等で文字列化してパスワード条件に合うやつを決定してるが
この方法なら生成アルゴリズムとっとけば、サイトと登録メアドは覚えておいて復元可能だろう
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する
サイト側で取れる対策について説明します。
対策1:ソルト
サイト側の対策として、まずソルト(Salt)は必ず採用すべきです。
ソルトというのは、ハッシュ値を計算する前にパスワードの前後に付け加える短い文字列です。 ソルト化ハッシュ = hash(パスワード + ソルト)
ソルトによる効果は以下の通りです。
同じパスワードを付けていても、ハッシュ値は異なるようにできる
ハッシュ値の元となる文字列を長くすることにより、レインボーテーブル探索を妨害する
ソルトを使うと、レインボーテーブルに対しては絶大な効果を発揮しますが、総当たり攻撃に対してほとんど効果はありません。
このため、次に説明するストレッチングという方法を併用します。
対策2:ストレッチング
ストレッチングというのは、ハッシュ値の計算を何回も(1000回〜数万回程度)繰り返すことです。
一般にハッシュ関数は高速性を求められますが、この高速性は総当たり攻撃に対しては脆弱な方向に働きます。
高速なハッシュを繰り返し用いることで速度を遅くするというのが、ストレッチングの考え方です。
仮にストレッチングを1万回とすると、先に紹介した「8文字英数字のパスワード」のハッシュ値をすべて求めるのには30万時間、約34年かかることになります。
攻撃者によってすべての情報が盗まれるという前提に立つと、パスワードを安全に守る現状のベストプラクティスは「ソルト+ハッシュ+ストレッチング」です。
https://atmarkit.itmedia.co.jp/ait/articles/1110/06/news154_3.html 今はユーザー側の入力がある時点で盗まれてるので無意味 銀行のキャッシュカードなんて数字4桁でもう何十年も変えてないけど、ただの一度も不正引き出しされたことない。 これは有名だが、しばらくはバレてなかったんだよな
ユーザー側で怪しい通信がないかを監視して通報するしかないのか、なかなか難しいが
ペニーオークション詐欺事件 - Wikipedia
2012年10月から11月にかけて、スマートフォンから個人情報を抜き取るコンピュータウイルス作成に関与したとして、不正指令電磁的記録に関する罪の容疑で、
出会い系サイト運営会社役員1人と社員3人を逮捕し、その際に押収した証拠データを解析した結果、ペニオクサイトの仕組みが判明して詐欺発覚のきっかけとなった。
これは、スマートフォンの「電池長持ちアプリ」などの名目で無料アプリを配布し、アプリにマルウェアを仕込んでスマートフォン内の電話帳データを抜き取り、ペニーオークションへ勧誘するスパムメールを送信していたというもの。
違法アプリの摘発からペニオク詐欺の実態が明らかになり、運営者に対する詐欺事件での立件につながった。 メモをとってもバレない仕組みにするだけやんな?
例 住友銀行なら住ジョーダンでオッケー
ジョーダン誕生日と特定の誰かの誕生日足し引き好きにしてその人の英語頭文字たすだけ >>934
UnGoogledブラウザなんかデフォで無効にしてあるからね。勝手に海外クラウドなんかにデータ保管されたくないよね。IEなんかはOSのプロテクトストレージて領域に勝手にパスの記録してて海外のツールで覗き見れたし激ヤバだった。 センズリをオナニーと呼ぶ輩はヘタレ
セse オo ヘhe
se o he
0721
0se7o21he スマホじゃなくガラケー(ネットには繋いでいない)の自分は
あまり心配してない。 ハッキングって無作為に文字列入れていくんじゃ無いんだ? パスワードは、全部違うのにしなさいとか、記号、数字、大小文字混ぜて何文字以上とか言われてもな。何か規則性を持たせて置かないと、覚えられない。パスワード管理アプリとか、怖すぎだし。 >>983
ブルートフォースはミス回数でストップするから
辞書アタックの方が合理的だろうね まずいのはわかっているけど
ほぼすべてのパスワード同じだわ >>984
オレは、パスワードのサイトに関するアルファベット4文字と数字4桁を交互に並べるようにしてるな
例えばクレカのサイトなら、VISAって単語と有効期限を混ぜてV0I4S2A4みたいな
たまに忘れるけどねw >>18
ワイはタトゥーで刻んでるわ
もうそろそろ目で追えない場所に書かざるを得ないから辛い 三大包茎トリオ
ザ・ポォーケェーズ
江戸皮魔茶美(佐藤正美)
腹刺しカッキー(堀越忠男)
繰り返ししゃっチン(住本大輔)
生きる価値がない三個のゴミクズ
3EMSMHKHTKSSD pasuwadoなら意外とセキュリティしっかりしてるんじゃね? >>8
ピコン「アルファベットの大文字、小文字、数字、記号を使って下さい」
んで最初から入力し直し。 >>986
俺もだな
3つぐらいの使いまわしだから
忘れてもどれかにしたら通る コロナだって痛い目見るまで改め無い派が多いから
そんなもんじゃ無い >>1
Wh18sdNkTnk
かなりの若者でもカンニングペーパーが必要だろうな ベンダーのサポート用アカウントのパスワードは大抵社名だなw 世界ランキングだと 123456〜 が1位・2位で、その次がqwertyだったっけな
どこの国でも 12345... はだめだってことだね つーか今どきはパスワードなしの認証以外はもう安心できないか
入力時点で抜かれてると思った方がいいぐらいかもしれんね 財布に入れたパスワード一覧表をなくして大変なことになった経験ならある。 レス数が1000を超えています。これ以上書き込みはできません。