パスワードを忘れた? アカウント作成
16323 story

危ないユーザ名とパスワードの特徴は? 78

ストーリー by mhatta
ありがちなパターンばかりだが 部門より

kirara(397) 曰く

Japan.internet.comの記事より。チェック・ポイント・ソフトウェア・テクノロジーズのニュースレターによると、米国メリーランド大学 A. James Clark School of Engineeringの研究者が、ユーザ名とパスワードの安全性に関する定量的な研究を行った。
報告によれば、辞書攻撃で最も試行回数が多かったユーザー名トップ10は

  1. root(2位の12倍以上試行)
  2. admin
  3. test
  4. guest
  5. info
  6. adm
  7. mysql
  8. user
  9. administrator
  10. oracle
となっており、ネットワーク機器のデフォルト設定や、管理者・開発者が使いがちな名称が並んでいる。また、パスワードに関してはユーザ名そのままや、末尾に数字を付けるなど一部を変化させて試行する場合が多いそうだ。
これを機会に、身の回りのアカウント情報を見直してみてはいかがだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 攻撃耐性 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2007年09月19日 10時55分 (#1221213)
    administraterになってて笑ったことが。もしやセキュリティーを意識して?
    • Re:攻撃耐性 (スコア:3, 参考になる)

      by Anonymous Coward on 2007年09月19日 11時02分 (#1221218)
      adomin とか sisutemu だと、なかなか試そうって発想が浮かばないよね
      親コメント
      • Re:攻撃耐性 (スコア:2, おもしろおかしい)

        by jerry_fish (32739) on 2007年09月19日 12時52分 (#1221290) 日記
        何か呼ばれた気が…
        #後悔していますorz

        友人のアカウント「エンジェルなんちゃら」は
        「angel~」ではなくて「engelu~」でした
        #類は友を呼ぶ…
        --
        ☆大きい羊は美しい☆
        親コメント
    • by Tatenon (20311) on 2007年09月20日 11時36分 (#1221823) 日記
      今やってる仕事のソース中に、"Terminater"って変数名があるんですが、
      別にセキュリティになんの貢献もしてくれません。

      # 機能追加してビルドしたら大量のエラーが・・・
      # どこのどなたか存じませんが勘弁してください。
      親コメント
    • by Anonymous Coward
      administrator”という長い単語は、(rootに比べて)覚えにくいので、一種のセキュリティ機構になりますね(棒読み)。
  • 理想と現実 (スコア:4, 興味深い)

    by Anonymous Coward on 2007年09月19日 12時24分 (#1221265)
    もう既に管理しきれてません。

    つうか、いろんなサービスで、IDだのパスワードだの要求される事大杉!!

    普通の名詞、個人の名前、電話番号、郵便番号、生年月日、住所の類は類推されやすいからダメ。紙にメモを取るなんてもっての他!短いパスワードは総当りに弱いから文字列は長くしろ!同じパスワードを使い回すヤツはいね!などなどなど…

    いや、おっしゃられる事は解らないではないですし、御説ご尤もなんですが。ランダムに近い長いパスワードなんて、幾つも覚えておけるような脳みそがこちらには無いもんですから、ほとほと困り果てているのです。

    結局、メモに頼ってる現状なんですが、皆さんどうされてるんでしょうか?

    頭の中で変換出来る程度の簡単に暗号化をしたメモ(『かみあさ語』みたいな1文字ずらし2文字ずらしさらにリバースとか)ってのが一番現実的かなぁ?と思ってるんですが、いかがでしょうか?
    • Re:理想と現実 (スコア:4, 参考になる)

      by ume-y (24175) on 2007年09月19日 18時31分 (#1221448) ホームページ
      自ブログで恐縮ですが、以前、「パスワードはメモすべし」 [hatena.ne.jp]ってのを書いたことがありました。

      ネットが世界中に公開されているのに対して、紙のメモは物理アクセスが必要になりますから、メモさえしっかり管理しておけば悪くないと思うんですけどね。
      紙に書くのもめんどくさいので、私はID Manager [woodensoldier.info]やRoboForm [roboform.com]、KeePass Password Safe [sourceforge.net]などの、ローカルアプリケーションでアカウントの管理をしています。パスワードの自動生成もできるし。
      親コメント
    • Re:理想と現実 (スコア:3, すばらしい洞察)

      by doctor_d (4392) on 2007年09月19日 12時35分 (#1221273) ホームページ
       ユーザ名(ID)の制約が多いシステムも困ります。

       「_」(アンダースコア)が使えないとか、数字を必ず混ぜろ、記号は使えない、文字数固定、といった制約が多いと、
      弱くて構わないシステムにも多数のユーザ名を作成する事になり、管理の難しさが上がります。

      親コメント
      • by T_KATA (28061) on 2007年09月19日 23時04分 (#1221549)
        パスワードかけたExcelなんかね、パスワードを間違えると「CAPS LOCKがONになってんじゃねーの?」とか余計な事言ってきます。
        そういうやつにはあえて大文字のパスワードを設定してやります。

        その昔とあるBBSで「新規に登録するパスワードには必ず記号をまぜろ」とかにシステム変更した際、あえて昔から使っている記号の混じってないパスワードを使い続けました。

        さて、そんな私はセキュリティ意識が高いのでしょうか、それとも低いのでしょうか。
        めんどくさがりであることは確か(笑)。
        親コメント
    • by aSilo (34754) on 2007年09月19日 14時37分 (#1221351) 日記
      紙というか「メモを取るのはありにしようよ」って言ってる人もいます [cnet.com]。

      メモを取らずに安易なパスワードを作るくらいなら、複雑なパスワードを作ってメモをした方がセキュリティ上いいだろう、という事だそうです。
      紙にメモする場合には家屋への侵入など物理的な脅威に配慮し、ファイルにメモする場合にはそのファイルとログインパスワードを厳重に管理する必要がありますが、複雑なパスワードを多数使うことができるそうです。

      え? 私ですか? 私のパスワードは人には決して教えられない恥ずかしいものですよ。
      昔は「MS型式番号MS名」が多かったけど、今はもっとアレゲなものに……。
      --
      -- Where your reading book is, there will your heart be also  天戸 司郎 (Silo Amato)
      親コメント
    • Re:理想と現実 (スコア:2, 参考になる)

      by Anonymous Coward on 2007年09月19日 12時40分 (#1221279)
      こんなのものを使ってます。
      KeyRing [sourceforge.net]
      親コメント
    • Re:理想と現実 (スコア:2, 参考になる)

      by Anonymous Coward on 2007年09月19日 12時44分 (#1221281)
      8~16桁のランダムな(数字記号入り)パスワードですが

      普段使う20個くらいは暗記してます。
      普段使わないものは鍵のかかる引き出しにメモが(ry

      度々見るオススメの方法は
      ・パスワード生成アルゴリズムを1つ決める
      例えば、(すごく簡単な例ですが)サービス名に誕生日を挟み込んでセミコロンをつける
      slashdot → s5l2a3s;
      google → g5o2o3g;
      そうすれば、覚えるのは1つで良い。

      ってのがあるらしいですが、私は無理。 1個ばれて類推されたら全部バレそうで怖い。
      # 上のアルゴリズムは簡単すぎる例なので実際はもっと類推されにくいアルゴリズムを使うのですが

      親コメント
      • Re:理想と現実 (スコア:4, 参考になる)

        by taka2 (14791) on 2007年09月19日 15時51分 (#1221391) ホームページ 日記
        私は

        > 度々見るオススメの方法は
        > ・パスワード生成アルゴリズムを1つ決める

        これでやってます。アルゴリズムは、
        ・サービス名と、パスフレーズを連結した文字列を生成する(パスフレーズ自体は秘密で全サービス共通)
        ・md5 を取って、base64で可視化する。パスワードに使える文字によっては、+/=は取り除く
        というもの。

        サービス名slashdot.jp、パスフレーズpasswordなら、
        MD5 ("slashdot.jppassword") = 056f4e7e19e041883212ed3708b2d435
        なので、これをbase64化して、パスワードは BW9OfhngQYgyEu03CLLUNQ になります。

        実際には、「slashdot.jppassword」って文字列を与えたら、それに対応するパスワードを表示するperlスクリプトを使ってます。
        1linerで「perl -e 'use Digest::MD5; print Digest::MD5->new->add("slashdot.jppassword")->b64digest;'」って感じ。

        パスワードからパスフレーズの逆算はまず無理なので、
        > 1個ばれて類推されたら全部バレそうで怖い。
        の心配はしてません。
        親コメント
    • 仮名タッチタイプで日本語の単語を英数モードで打ったやつを多用してます。
      ただ、ケ、ム、レ、ロ辺りのキーボードの端にある文字を使うと悲惨なことになる場合があるのでお勧めしません。
      親コメント
    • by ranets_e (34792) on 2007年09月19日 16時54分 (#1221419)
      クラック用の辞書を見たことがあって、ほとんどが英単語だったので、日本の地名をパスワードにしていた時期がありました。有効だったのかしら?
      親コメント
    • by tectaro (28890) on 2007年09月19日 19時03分 (#1221457)
      自分の好きな歌の小節ごとの頭文字と生年月日などの適当な数字を組み合わせて使ってます。
      忘れたときのためにメモしておくのは曲のタイトル。
      14〜16文字ぐらいのパスワードになるので比較的強いかと。
      記号類をどうやったらこれに組み込めるか思案中。
      --
      ではでは
      親コメント
    • by jtakao (16864) on 2007年09月19日 21時48分 (#1221496)
      パスワードに「英文字・数字をかならず混在」というような事を強制するシステムって結構ありますが、実質的にどれだけ効果的なんでしょうかね。
      辞書に出ているような安易な言葉を使えなくする、という事が目的かもしれないけど、現実としては「英文字だけの文字列の最後に数字の1(または0)を付加」というパターンが使われることが多いなんていう事も聞いた事があります…。

      あと、「定期的に変えろ」というのもよくありますが、これもどうなんでしょうかねぇ。これは「万一パスワードが破られた時の被害を最小限にするため」だと思うのですが、実際犯罪するような奴らは「パスワード破ったぜ、へへへ、しばらくの間、頂きだ!」なんて呑気な考えではなく、短時間で出来る限り、最大限の事をやってしまうと思うんですけどね。長期間変更してないパスワードって、長期間破られてないパスワードってことである意味安全?

      親コメント
  • 外向きと内向き (スコア:2, すばらしい洞察)

    by Fatalwedge (6623) <fatal@fuurai.org> on 2007年09月19日 10時26分 (#1221202) ホームページ 日記
    ユーザー名については管理上の都合などである程度安易なものになるのは仕方ない部分もありますが、せめてパスワードには気を配りたいですね。
    でそのパスワードについても“外”を向いてる所には「jvf3*A#u」みたいなガチガチのパスワードを設定していても、内向きには比較的安直なパスワードを設定しているところも多いので改めて注意が必要かと。
    --
    「何か、忘れてる気がするんだよなあ……」
    • Re:外向きと内向き (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2007年09月19日 11時54分 (#1221245)
      >でそのパスワードについても“外”を向いてる所には「jvf3*A#u」みたいなガチガチのパスワードを設定していても、

      ちょ、待てよ、俺のパスワード晒すなよ!!!

      # と焦った人はいるかもしれない
      親コメント
    • by Anonymous Coward
      > 内向きには比較的安直なパスワードを設定しているところも多いので

      あっしがそうでやんす。
      非Win/Mac な端末(全てモニタなし)なんて、おいら以外誰も。なんだもん。
      そもそもリモートログイン自体、僕だけが。

      つまるところ面倒なので一桁(適当な記号を当ててるけど)でたくさん。

      某社で唯一のSE氏は、同じ理由で付箋にパスワードってやってますよ。

      # 外に晒すときには、もちろんガチゴチに固めてるでござる。念のため。
      • by Ryo.F (3896) on 2007年09月19日 14時38分 (#1221352) 日記
        非Win/Mac な端末(全てモニタなし)なんて
        んな使い方するんだったら、SSHの公開鍵認証で接続すれば?ディスプレイ付端末のパスワード(と、秘密鍵のパスワード)だけで全端末にログインできるよ。
        親コメント
      • by Anonymous Coward
        > 非Win/Mac な端末(全てモニタなし)

        モニタもなくて「端末」と呼べるのかという疑問が少々・・・
        リモートログインしてるなら「端末」は手元の機械のことですよ?
        え?テレタイプ? そりゃ誰も使わないわけだ。
  • oracle・・・ (スコア:1, 参考になる)

    by Anonymous Coward on 2007年09月19日 10時15分 (#1221194)
    特定のミドルウェア名ってのは、それが使われている分野(サーバー)に対して多くなるのでしょうが、
    個人が利用してしまいがちなパスワードとは異なってくるでしょうね。

    例えば、qwertyuiとかasdasdasとかzxczxczxとかのように
    キーの並びに沿って押したようなパスワード、
    testuserとかtestとかguest、そのサービスの会社名というのも比較的ありがちで、
    しかもIDも同一だったりして、テストで作ったようなアカウントでログインできてしまう。

    #第三者によるものか、自社社員によるものかは様々で、他社の事は詳しく知りませんが、
    #自社で提供している会員制サービスのアカウントにはそのようなものが存在していました。
    • Re:oracle・・・ (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2007年09月19日 10時32分 (#1221204)
      > #自社で提供している会員制サービスのアカウントにはそのようなものが存在していました。

      パスワードをハッシュもせずに管理者が見ることのできるサービスだったんですか?

      # プライバシーポリシーにはパスワードの管理方法もきちんと書いておいてほしい。
      親コメント
      • by Anonymous Coward
        >パスワードをハッシュもせずに管理者が見ることのできるサービスだったんですか?

        1番目の可能性としてはハッシュに対して辞書攻撃を行った結果そういうパスワードがみつかった

        2番目の可能性としてはチャレンジレスポンス認証のために平文あるいは復号可能な形式でパスワードを保存していた

        --
        ハッシュは手段であって解法ではない
      • by Anonymous Coward
        >パスワードをハッシュもせずに管理者が見ることのできるサービスだったんですか?

        自社サービスと言っても、GMailのような広く公開されたものではなく、
        元から限られた経路で限られた相手に提供という担保はあります。
        それにしても、様々なパッケージで複数提供しておりますので一概には言えませんが…
        そう言った保存がされているものもおそらくあるかと思います。

        ただ、前提が「IDが公知な単語」というユーザーにおいて「IDとPWが同一」という状況です。
        それは、別に管理者で無くてもスクリプトで確認が出来るレベルの話でしょう。
        実際、最初にそのようなアカウントがあると私が気がつ
    • by Anonymous Coward
      >例えば、qwertyuiとかasdasdasとかzxczxczxとかのように
      >キーの並びに沿って押したようなパスワード、

      1qazxsw2やzaq12wsxなどですね。

      #類似系に1234rewqやzxcvfdsa等
  • by 127.0.0.1 (33105) on 2007年09月19日 10時27分 (#1221203) 日記
    >10. oracle

    scottじゃないのか……
  • by mola (29791) on 2007年09月19日 12時17分 (#1221262)
     とりあえずパスワードには記号(#$%&{}|~など)を何か1文字だけでも加えましょう。
     安易なパスワードでも、これだけで強度はグッと上がります。この程度なら誰でも出来るはず・・・

    (参考)
    最強のパスワードを作る(1) [nikkeibp.co.jp]
    最強のパスワードを作る(2) [nikkeibp.co.jp]
    最強のパスワードを作る(3) [nikkeibp.co.jp]
    • by Ryo.F (3896) on 2007年09月19日 14時45分 (#1221359) 日記
      確かにその通りなんですが、キーボードの配列や設定によってログインに失敗、最悪の場合は数回失敗してアカウントがロックされてしまう、なんてこともあるんで、
      strings /dev/urandom | egrep '^[[:alnum:]]{8,}$'
      なんてことをしたりします。
      何回か入力してるうちに、こんなランダムなパスワードでも覚えちゃえるもんです。
      親コメント
  • フィルタを (スコア:1, 参考になる)

    by Anonymous Coward on 2007年09月19日 13時40分 (#1221324)
    様々なシステムがデフォルトで用意してる名前は、辞書攻撃以前の候補として真っ先に試されるのが当たり前なんだから、それらを除いた順位を「危ないユーザ名とパスワード」として挙げるほうがよくないか?
    デフォルト設定を無効にし忘れてやられるようなのは、ここでは考慮する必要ないだろう?
  • by Anonymous Coward on 2007年09月19日 13時42分 (#1221326)
    パスワードは変更出来てもユーザ名はadminとかroot固定な一部ルータとかがあって困る
    • Re:一部のルータ (スコア:3, おもしろおかしい)

      by masarakki (33893) on 2007年09月19日 13時57分 (#1221333)
      しかもBASIC認証でキャンセル押すと

      ユーザ名にはrootを入れてください
      初期パスワードはxxxです

      と書かれたページにリダイレクトされる
      親コメント
  • by Anonymous Coward on 2007年09月19日 10時26分 (#1221201)
    mysql とかadmin なんかより、system/manager とか、scott/tiger の方が、遥かにマシなモノありそうな予感。

    # お金かかってるシステムのが中身がショボいって場合も多々ありますが
  • by Anonymous Coward on 2007年09月19日 10時50分 (#1221211)
    国民投票かと思ったよ。
    "system" とかが無いのが意外といえば意外
  • by Anonymous Coward on 2007年09月19日 11時16分 (#1221225)
    >これを機会に、身の回りのアカウント情報を見直してみてはいかがだろうか。

    チェックしたら発表するんですよね。私はチェックしないぞ。本人も忘れているぐらいの特権は
  • by Anonymous Coward on 2007年09月19日 12時53分 (#1221291)
    rootやoracleでリモートからログイン可能な設定って、問題外では?

    ssh公開鍵認証のみ許可(パスワード認証禁止)にした上で、一般ユーザはsu禁止。これが最低レベルでしょ?

    # sshポートのアクセスログを見ると、パスワード認証は怖くて使えなくなります。
    • by Misorano (31326) on 2007年09月19日 20時39分 (#1221475)
      だから、「問題外な管理者が結構いる」って記事だと思われ。

      問題外なのはここに来る方々は判っているだろうけど、
      実際調査したらこうなりました、って事でしょう。
      親コメント
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...