パスワードを忘れた? アカウント作成
375 story

パスワード心理学 41

ストーリー by Oliver
crypt('coward','ac') 部門より
本家より: "最新の調査によると一般的にパスワードは四個のカテゴリに分類できるそうだ。家族、ファン、 自己中、そして意味不明。ここの読者はみんな、意味不明な良いパスワードを使っているに違いないが、俺のユーザが家族の名前を使うのさえやめてくれれば..."

パスワード変更時に破られそうなのは受け付けないようになっているとユーザは文句たらたら。おまけに、覚えにくいから是正しろ、と上司が言い出す始末。ああっ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 普段はセキュリティがどうのこうのって口うるさく言っているようなおっさん達が一番破られやすいパスワード使ってたりするんですよね.辞書総当りですぐにばれちゃうようなやつ.

    でも実際はそういう人達のアカウントって結構権限高かったりするから,第三者にのっとられた場合の被害もそれなりにあるはずなんだけど,その辺が理解できていない.こういうパスワードに無頓着なユーザって,一回痛い目に遭わないといつまでたってもパスワードの重要性が理解できないんじゃないかな.

  • OS XのrootパスワードはOSのCDさえあれば、簡単にリセットされてしまう。こうなると、自分のコンピュータに簡単に触れる身内が恐い。
    --

    There is no spoon.
  • それって大抵のUNIX系OSでは同じですよね. CDでブートして,ハードディスクをマウントしてパスワード書き換えればいい.

    そういう話ではない?

  • by nidak (2008) on 2001年06月30日 19時10分 (#4522) ホームページ 日記
    Unixってパスワード忘れたらHDDをフォーマットする以外に手がないくらいセキュアじゃないのか?本人以外が触って、簡単にパスワード変えられちゃうのは嫌だなぁ。
    Win2kって、パスワード忘れたら最後とか、そんな風になっていなかったかな?記憶違いかも、、、
    --

    There is no spoon.
  • by crouton (9) on 2001年06月30日 19時20分 (#4525)

    いくらOSがセキュアに作ってあっても物理的アクセスが できるのであればあまり意味がありません。極端な話、盗んだり、ブッ壊すことだってできるんですから。

    安全にするためには、鍵のかかる部屋にいれておかなきゃね。

    で、ネットワークにも繋がないことです(とかいう)

    --
    "Quidquid latine dictum sit, altum videtur."
  • そんな人いっぱいいますよ. さらにrootのパスワードがマシン名と同じだったり,パスワードも"root"だったり.

    もっとも私も評価用のマシンとかだとそういうパスワードにしてしまいますが. どうせ外部からアクセスできないし, 外部にもアクセスできないので.

  • by kitaj (186) on 2001年06月30日 19時56分 (#4533) ホームページ
    SunOS5以降ではないでしょうか.

    でも,たとえシングルユーザモードでパスワードを要求されるようになっても,Solarisのインストールメディアって簡単に入手できてしまうのであまり意味がないですよね.

  • by nidak (2008) on 2001年06月30日 20時16分 (#4536) ホームページ 日記
    これはAppleの技術文章(Tech Info Library)でもちゃんとOS XのCDはカギをかけて、他の人の手の届かないところに保存して下さいと呼び掛けているぞ。
    それが良い事なのか悪い事なのかは良く知らぬが。
    --

    There is no spoon.
  • by tmasui (3621) on 2001年07月01日 11時02分 (#4575) ホームページ
    認証にパスワードなんか使うのが一番の問題であって、 運用がうまくいかないのは ユーザが悪いのではなく システムの責任でしょう。
    Unix Magazineの新しい号に、 パスワードを使わない「なぞなぞ認証」方式について 書いてますので読んでやって下さい。 ここで試してみることができます。
  • by youkan (3208) on 2001年06月30日 16時26分 (#4511) 日記
     ドメインユーザの管理画面で、パスワードの長さなど以外に、前回、前々回など何回前に利用したのを使えないようにすることが設定できる。
     2週間で更新するような設定にしておくと、頻度が多いので、いちいち新しい文字列なんか考えられなくなる。
     慣れてくると、だんだん、とても問題になるパスワードを設定するようになる。どういうのかというと、たとえば変更時に最後の数字だけをインクリメントする、というもの。
  • by nobuo (263) on 2001年06月30日 17時57分 (#4514) 日記
    職場でもようやく各部署が発信する情報をWebに掲載できるような仕組みができてきた。いままで回覧を使っていたことを考えるとものすごい進歩なんだろうけど、各部署の担当者(いや、管理者か?)が、やたらと.htaccessを使ったユーザのアクセス制限をしている。そこで使うパスワードの覚えやすさといったら...

    本当にアクセス制限する気があるのかねぇ?

    --
    nobuo * Who's gonna die first? *
  • by Hebikuzure (489) on 2001年06月30日 18時57分 (#4520) ホームページ 日記
    いくら「パスワードは破られにくい物に」って言っても、命の次ぎに大事なお金を管理するキャッシュカードの暗証番号が数字4ケタだからなあ....。その程度で十分って思う人が多いんじゃなかろうか。
  •  これって、どこかのMacのサイトに書いてあった受け売りですね。
     さらにそこには、MacOS9で入ったら、MacOSXのファイルの内様も変更できるってあったけど。

     直後に、某日記サイトで、マシンはカギのかかる部屋に。。。
  • 物理的いじれるところに侵入してしまえば、
    電源ボタンなりでリブートさせて、
    シングルユーザーモードでうりゃ!と一発。

    Win2kとかでも、NTFSよめちゃうドライバとかありませんでしたっけ?
  • by kemo (3205) on 2001年06月30日 19時22分 (#4526) ホームページ 日記
    物理的にアクセスされればほとんどの防護措置は無力ですね。
    重要な情報には物理的にも近づけなくしておかないと危険です。
  • 以前の職場で、進捗の〆日に休んでしまい、
    電話でパスワードを教えて、処理をしてもらったことがあります。
    それ以来、「教えざるを得ない状況になりうる」パスワードという概念が頭に出来ちゃったりして。なんだかなぁ。
  • by tma20 (3064) on 2001年06月30日 19時46分 (#4530)
    Solaris はシングルユーザモードでもパスワードが必要
    ちょっとバージョンいくつからの話かは忘れたけど
    少なくとも SunOS4.1.x では要求してなかったなあ。

    WinNT はダレでもシャットダウンできて安全だね。:-P
    あれ? NT Server だと違ったっけ?
  • by haku416 (3394) on 2001年06月30日 20時04分 (#4534)
    しかも、その暗証番号も誕生日の数字にしてるし・・・
  • ドメインユーザの管理画面で、パスワードのさなど以外に、前回、前々回など何回前に利用したのを使えないようにすることが設定できる。

    3つ作っておいて、それをローテーションさせなさい。と先輩に指導された覚えがある。

    #よい子はまねをしないように

    --
    char *A;
    モータースポーツ部 [slashdot.jp]
  • by deleted user (1544) on 2001年06月30日 20時35分 (#4541) ホームページ 日記
    lilo だったら、シングルユーザモードで起動すればいい
    CDなんかいらん
  • by Ryu-TK (1420) on 2001年06月30日 21時13分 (#4544)
    紙に書いて張り付けておいたり…。
    某所では、管理者のパスワードが空っぽです。
  • 物理的にアクセスできる場合,

    1. HDD を取り出して
    2. ルート権限のある別のマシンに接続して読み出す
    ということが可能です.

    というわけで,物理的セキュリティは,パスワード以前にクリアしておく問題ですね.

  • by youkan (3208) on 2001年06月30日 23時33分 (#4552) 日記
     お店で買えるんだから、意味ないと思うけど。

     だから、もともとシングルユーザー用OSを使っていたユーザーが、ネットワークユーザーを扱うOSに変わったのだから、基準が変わっていることを学ばないと。

    #それが嫌な人はいっぱいいるけど。
  • by indy (3349) on 2001年06月30日 23時48分 (#4553)
    #紙に書いて張り付けておいたり…。 ディスプレイに張りつけはよくありますね。 あまりにも意味がないので、それならパスフレーズなしの公開鍵の方がまだましかも。
    --
    - indy
  • IDと同じをポスワードに設定する人、パスワードを付箋に書いてディスプレイの隅に張っておく人、などなど。パスワードのセキュリティに関して皆さんが直面してる頭痛のタネは、管理者的なことをやってる人はみんな共通の悩みかと思います。
    でも、自分自身も含めて、推定しにくい(憶えにくい)パスワードを設定して、一定期間で切り替えていくってのは、結構苦痛なのも確か。
    悪いのは、完璧に実行することが難しいことを常に要求してるシステム? それとも、完璧に実行できない人?
    どうもシステムとかより、心理学とかの領域の話のような気がしないでもないです。 でも指紋認証みたいに、新たなデバイスを一斉導入して解決するってのも面倒な気もするし、なんか良い手はないんでしょうかね。
  • ディスプレイにパスワードが張ってあるのはよく見かけますよね。
    某お役所では課員全員が課長のパスワード知ってたし。
    最近よくみかけるのは「123456」「987654」とかね。

    ま、判子借りて決済出したりしてる国だしな。
  • by Takosan (2656) on 2001年07月01日 2時30分 (#4560) ホームページ
    >WinNT はダレでもシャットダウンできて安全だね。:-P
    >あれ? NT Server だと違ったっけ?

    レジストリで Shutdown Without Logon ってキーをいぢれば、どちらでも。
    NT 4.0 Workstationはdefaultで有効
    NT 4.0 Serverはdefaultで無効になってます。
    このあたりはWin2Kでも一緒だと思いま~っす。
    --
    **たこさん**・・・
  • by minz (3213) on 2001年07月01日 4時20分 (#4566) ホームページ 日記
    ま、それ向け?に暗号化ファイルシステムなんてのが あるわけですが、 マトモに、かつ、シームレスに使えるモノってのは 出回ってないよなあ。
    --
    みんつ
  • 指紋認証って疑問を感じませんか?
    鍵をばらまいて歩いているようなものではないのかと。
    話しがそれますが。
  •  指紋は複製する技術が簡単で、実行されやすい。
     網膜は、古い映画でもあったけど、指を突っ込まれてもぎ取られ、運ばれ、センサーの前に示せば認証されてしまう。

     どうしてスタティックなデータで認証するのか。

     銀行の預金通帳にはんこを押すと、その陰影からはんこを複製されて引き出される事故が増えている。
     ->更新時、判子は押さなくなった。
     ->自動更新機で新しい通帳を作れるようになったので、待たなくてすむようになった。
     が、なにか釈然としない気持ちが残る。

     といいながら、ICカード。
    #たんに新しもの好き
  • tcpdump を仕込んでおくとばれちゃうというのもありますね。 権限高い程ばれるようなメールの読み方しています。
    ちょっと知っていれば、 パスワードは内部からアタックされるとヒントに事欠きません。 パスワードをバレないようにするのも大事ですが、 待遇や意欲を汲み取って、 モチベーションを高くし、 そんなことをする気がないようにするのが根本的な対処でしょう。
    権限高い人達がこれを分かってないとね。
  • by Ryu-TK (1420) on 2001年07月01日 11時35分 (#4585)
    キーボードの配列そのまんまとか。
    asdfghjkl や zxcvbnmみたいな…。
  • by kota (2142) on 2001年07月01日 13時50分 (#4594) 日記
    いちおう、lilo.confに対して
    password=PASS
    restricted
    とか追加しておけば、linux -s に対しては強くなる。
    物理的にアクセスされた時の脆弱さはあまり変わらず。
    FDやCD-ROM boot制限しとけば「短時間に,簡単に」
    やられることは減るね。それだけでも意味はあるか。
    # で、lilo.confが -rw-r--r--だったり...(わ
  • by kensama (2552) on 2001年07月02日 9時59分 (#4667) ホームページ 日記
    指紋の認証も、
    手首あたりでチョン切って使うシーンがあったような。
    なんの映画だったっけ、、、
  • by mad-p (1491) on 2001年07月02日 12時25分 (#4683)
    面白いですね。 でも傘をなくす度に正答を修正しないといけないの?
  • 指紋とか網膜とかによる認証って、生体振動(細動?電気信号?)も利用することで、
    生きているものにくっついてないと有効にならないってのもあるみたいですね。
    この場合、指とか眼球とかを単体で強奪してもちゃんと生きてないと利用できないとか。
    声帯(声紋)を利用する場合も、テレコからの再生では認証できない様になってはいますし。
    まあ、身柄ごと確保して、認証突破後、キーは処理すれば問題ないのか?
    --
    -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
  • by amorita (2702) on 2001年07月02日 15時41分 (#4726) ホームページ
    昔、FreeBSD用の暗号化ファイルシステムの
    試験実装を見た気がする...

    でも、暗号化ファイルシステムを使用しても
    物理侵入された場合、kernelに細工をされれば
    終わりだし、/ File Systemを暗号化しても
    Boot時の手間が増えるという問題もある
    それに、PCI Busモニタや ICEを仕組まれればそれまで
    さすがに、Main Memoryと Busの暗号化は施されて
    いないので、丸裸にされてしまう
  • by Anonymous Coward on 2001年06月30日 18時41分 (#4519)
    IDと同じにしている人がいたのでちょっと怖かった。
  • by Anonymous Coward on 2001年06月30日 22時26分 (#4549)
    やばいから名前出して書かないけど、ついインターネットの他人の掲示板で「まっさかなんこたぁねぇ~だろな」って、IDと同じにパスワードを打ったらadminモードに入っちゃってびびった。危険性を教えてやるにもなぁ・・。
  • by Anonymous Coward on 2001年07月01日 11時21分 (#4581)
    マンションの玄関なんかは「呼1234」とかが多いな。
  • by Anonymous Coward on 2001年07月03日 19時01分 (#4993)
    LILO:linux init=/bin/sh
    としたときは?
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...