先般、不正ログインやフィッシングメールについて、記事を書きました。
実際、ネット上を見るとかなり引っかかった人が居たらしく、私のサイトで情報を得てくれた方も、いるのでしょうね。
強固なパスワードで保護
関連記事
最近のスパムの傾向と対策
→スクエアエニックスを装う、フィッシングメールの手口、対策
不正ログイン騒動について
→大量不正ログイン事件の手口、対策
今回は、パスワードについてです。
パスワードは、どんなに複雑な物を使ってても、上述のようなフィッシングサイトで漏洩してしまうと、全く意味が無いのです。
それどころか、日本のパスワード辞書に登録され他の人のアタックに、使われるのです。
怖いですね(^^ゞ
まず、お断りですが、多分ここで記載する内容にドキッとする方が、いると思います。
そんな方は、まずパスワードを変えてみましょう。
ここで推測されるようなパスワードを使用している場合既にハッキングされているかもしれません。
あと、ここで得た情報で、他人のアカウントをハッキングする事は、可能になるでしょう。
ですが、私は一切責任を持ちません。
本人以外が、アカウントにログインすると、刑事罰の対象となりますので、ご注意願います。
それでは、本題です。
安全なパスワードを作るには、まず、ハッカーの手法を知る事が肝心です。
以下にハッカーがIDをクラックするときの手法を羅列します。
と思った方も多いと思います。
ですが、IDの後ろ(前)にコレを付けて使っている場合があるのですね。
ID:identの場合
・identadmin
・ident0123
・ident1111
・ident1203
(identmmddでmm=01~12、dd=01~31の場合、4桁なのにたかだか1/365なんですね)
・ident19xx
・ident20xx
(xx=70~99,00~13、たかだか4,50通りという事です)
ここでは、4文字追加しただけす。面倒なので2文字という人も居るでしょう。
こんな脆弱なパスワードを使うのは、何故か?
それは、IDを沢山持っていても忘れないからです。
自分のリマインダ代わりにパスワードを使っているのですね。
これだと、どうぞ侵入してくださいと、お願いしているレベルという事になります。
今は、システム的にガードされていますが、ID=パスワードなどという事も平気で行われてきました。
たとえば、私のアメーバIDである「seravi2」であれば
セラヴィ→赤ずきんチャチャ→chacha19830214
長いパスワードでも、公開している生年月日などを入れると、全く意味はありません。
キャラクタ名は、marinかもしれないし、dorothyかもしれません。
自分のあだ名とか
はるか→はるる
haruru1983
haruru0214
haruruadmin
haruru0123
haruru1111
こんなのをパスワードにしていると、数日でアカウントを乗っ取ることが可能です。
なぜ数日か?それは、一日で試行できるパスワードの数が大体決まっているからです。
ブルートフォースアタックを防ぐために、サイト側がロックしているのですね。
ですが、プロクシでIPを詐称したりする事により一日で何回もアタックを試行する事ができたりします。
その数千パターンを辞書登録して、アタックをします。
何日も掛けて、アタックすればいつかは破れるものです。
パスワードを頻繁に変えるように誘導していたりした場合、それが仇となって、簡単なパスワードに変更しやすくなり、さらに辞書内に登録されている数千字のパスワードに落ち着くというのが目に見えています。
数千回Attackすれば、ハッキングが可能になるわけです。
a.当たり前だろバカ
b.恐いな、何されるかわかんないよね
という二種類に分かれると思います。
実は、危険な発想がaです。
「自分のパスワードは大丈夫」とどこかで思っているから行き着く発想なのです。
そういった人は、推測されやすいパスワードを使ったり、複数のサイトで、同一パスワードを使用している傾向が強いです。
(これは、傾向の話であって、例外があるのもしかりです)
逆にbの発想の人が、恐いと思った理由は、
「自分のIDが、いつかハッキングされるかも知れない」という
危機感を、持っているから出てくるのです。
こういった危機感を持った人は、ハッカー(クラッカー)から見たら攻撃しにくいです。
できたら、攻撃しにくい思想になりたいですね。
固有名詞は、ブログなどの情報から収集する事が可能です。
ペットの名前、友達の名前、彼氏の名前、地名、機種、食品、メニューなど色々出てきますね。
これらに優先順位を付けてアタックします。
公開している情報をパスワードにしてはなりません。
公開している固有名詞(ブログ、twitter、facebookなど)はターゲットになりやすいです。
無作為にみえて「zxcvbv」や「lkjh」などは、当然ですが最優先で辞書に存在します。
固有名詞でも、本当に本人しか知り得ないものなら、大丈夫だと思います。
無作為なアルファベットと数字の組み合わせは、最強ですが、こちらが覚えられないですよね。
覚えられないと暗号にならないのです。
固有名詞を使う人は、それなりをリスクを考慮して推測されないものにしましょう。
しかし、これらは、ある程度セキュリティ意識が高い人のみに効果があるのです。
何が言いたいかというと、表示されたサイトのリンクを、すぐにクリックしたり、いままでコンピュータウィルスに感染したりした人は、いくら複雑で難しいパスワードにしても、無駄という事です。
そういった危機意識を持つ所から、改善して行かないと片手落ちになってしまいます。
意識改革も必要ですので、何度もクラッキングされた方は是非、パスワードを変えるだけではなく意識改革も行ってください。
ちょっとキツイ書き方になりましたが、セキュリティ関係の問題は、自分が被害者ではないのです。
大抵が、友人や親戚、知人も巻き込むことになります。
何も関係無いそれらの人を、巻き込んだ瞬間「加害者」となります。
自分が加害者にならないために、常に高いセキュリティ意識を持って欲しいとおもいました。
では、また。
実際、ネット上を見るとかなり引っかかった人が居たらしく、私のサイトで情報を得てくれた方も、いるのでしょうね。
強固なパスワードで保護
関連記事
最近のスパムの傾向と対策
→スクエアエニックスを装う、フィッシングメールの手口、対策
不正ログイン騒動について
→大量不正ログイン事件の手口、対策
今回は、パスワードについてです。
パスワードは、どんなに複雑な物を使ってても、上述のようなフィッシングサイトで漏洩してしまうと、全く意味が無いのです。
それどころか、日本のパスワード辞書に登録され他の人のアタックに、使われるのです。
怖いですね(^^ゞ
まず、お断りですが、多分ここで記載する内容にドキッとする方が、いると思います。
そんな方は、まずパスワードを変えてみましょう。
ここで推測されるようなパスワードを使用している場合既にハッキングされているかもしれません。
あと、ここで得た情報で、他人のアカウントをハッキングする事は、可能になるでしょう。
ですが、私は一切責任を持ちません。
本人以外が、アカウントにログインすると、刑事罰の対象となりますので、ご注意願います。
それでは、本題です。
安全なパスワードを作るには、まず、ハッカーの手法を知る事が肝心です。
以下にハッカーがIDをクラックするときの手法を羅列します。
1.IDをパスワード内に入れる
先の記事で、0123とかadminとか書きましたが、このようなパスワードを使う人は居ないだろ!と思った方も多いと思います。
ですが、IDの後ろ(前)にコレを付けて使っている場合があるのですね。
ID:identの場合
・identadmin
・ident0123
・ident1111
・ident1203
(identmmddでmm=01~12、dd=01~31の場合、4桁なのにたかだか1/365なんですね)
・ident19xx
・ident20xx
(xx=70~99,00~13、たかだか4,50通りという事です)
ここでは、4文字追加しただけす。面倒なので2文字という人も居るでしょう。
こんな脆弱なパスワードを使うのは、何故か?
それは、IDを沢山持っていても忘れないからです。
自分のリマインダ代わりにパスワードを使っているのですね。
これだと、どうぞ侵入してくださいと、お願いしているレベルという事になります。
今は、システム的にガードされていますが、ID=パスワードなどという事も平気で行われてきました。
2.推測されやすいキーワード
パスワードに推測されやすい単語を使用する場合があります。たとえば、私のアメーバIDである「seravi2」であれば
セラヴィ→赤ずきんチャチャ→chacha19830214
長いパスワードでも、公開している生年月日などを入れると、全く意味はありません。
キャラクタ名は、marinかもしれないし、dorothyかもしれません。
自分のあだ名とか
はるか→はるる
haruru1983
haruru0214
haruruadmin
haruru0123
haruru1111
こんなのをパスワードにしていると、数日でアカウントを乗っ取ることが可能です。
なぜ数日か?それは、一日で試行できるパスワードの数が大体決まっているからです。
ブルートフォースアタックを防ぐために、サイト側がロックしているのですね。
ですが、プロクシでIPを詐称したりする事により一日で何回もアタックを試行する事ができたりします。
3.辞書によるアタック
何度か、辞書の話が登場していますが、普通の人間に「任意のキーワードを考えてくれ」と言って出てくるのは、せいぜい数千パターンしか無いのです。その数千パターンを辞書登録して、アタックをします。
何日も掛けて、アタックすればいつかは破れるものです。
パスワードを頻繁に変えるように誘導していたりした場合、それが仇となって、簡単なパスワードに変更しやすくなり、さらに辞書内に登録されている数千字のパスワードに落ち着くというのが目に見えています。
数千回Attackすれば、ハッキングが可能になるわけです。
4.警戒を怠る
今までの説明を見てa.当たり前だろバカ
b.恐いな、何されるかわかんないよね
という二種類に分かれると思います。
実は、危険な発想がaです。
「自分のパスワードは大丈夫」とどこかで思っているから行き着く発想なのです。
そういった人は、推測されやすいパスワードを使ったり、複数のサイトで、同一パスワードを使用している傾向が強いです。
(これは、傾向の話であって、例外があるのもしかりです)
逆にbの発想の人が、恐いと思った理由は、
「自分のIDが、いつかハッキングされるかも知れない」という
危機感を、持っているから出てくるのです。
こういった危機感を持った人は、ハッカー(クラッカー)から見たら攻撃しにくいです。
できたら、攻撃しにくい思想になりたいですね。
5.固有名詞を使う
推測されやすいパスワードと同じ種類ですが、おそらく半数以上の人が採用しているでしょう。固有名詞は、ブログなどの情報から収集する事が可能です。
ペットの名前、友達の名前、彼氏の名前、地名、機種、食品、メニューなど色々出てきますね。
これらに優先順位を付けてアタックします。
公開している情報をパスワードにしてはなりません。
公開している固有名詞(ブログ、twitter、facebookなど)はターゲットになりやすいです。
正しいパスワードの付け方
ずばり1~5以外の物にするのです。無作為にみえて「zxcvbv」や「lkjh」などは、当然ですが最優先で辞書に存在します。
固有名詞でも、本当に本人しか知り得ないものなら、大丈夫だと思います。
無作為なアルファベットと数字の組み合わせは、最強ですが、こちらが覚えられないですよね。
覚えられないと暗号にならないのです。
固有名詞を使う人は、それなりをリスクを考慮して推測されないものにしましょう。
まとめ
今回パスワードについて、いろいろ、説明しました。しかし、これらは、ある程度セキュリティ意識が高い人のみに効果があるのです。
何が言いたいかというと、表示されたサイトのリンクを、すぐにクリックしたり、いままでコンピュータウィルスに感染したりした人は、いくら複雑で難しいパスワードにしても、無駄という事です。
そういった危機意識を持つ所から、改善して行かないと片手落ちになってしまいます。
意識改革も必要ですので、何度もクラッキングされた方は是非、パスワードを変えるだけではなく意識改革も行ってください。
ちょっとキツイ書き方になりましたが、セキュリティ関係の問題は、自分が被害者ではないのです。
大抵が、友人や親戚、知人も巻き込むことになります。
何も関係無いそれらの人を、巻き込んだ瞬間「加害者」となります。
自分が加害者にならないために、常に高いセキュリティ意識を持って欲しいとおもいました。
では、また。
コメント一覧
コメントする