phpbb.comから流出したパスワード、その傾向は? 30
ストーリー by soara
あっちでこっちでパスワード、考えるのも大変だ 部門より
あっちでこっちでパスワード、考えるのも大変だ 部門より
insiderman 曰く、
やや旧聞になるかもしれないが、先日、オープンソースの電子掲示板システム「phpBB」を提供しているphpbb.comが攻撃され、約2万ものユーザーパスワードが流出する事件が発生した。攻撃者はこのパスワードをオンラインで公開したのだが、このパスワード情報を解析した結果、「よく使われるパスワード」がやはり多数存在していた、ということがDark Readingの記事で述べられている。
パスワードを解析した結果、まずその16%が人名(姓ではなく名前)であり、また14%が「1234」や「qwerty」といったキーボードのパターンであったという。また、4%が「passw0rd」や「password1」など、「password」という単語を変えたもので、5%が「hannah」や「pokemon」、「tigger」、「klingon」、「starwars」などの映画やアニメ、音楽などのポップカルチャーに関連した単語、4%がPCの近くに見える単語、たとえば「samsung」や「dell」などだったそうだ。
ちなみに、phpbb.comから流出したパスワードのトップ20は下記のとおり。
- 3.03% "123456"
- 2.13% "password"
- 1.45% "phpbb"
- 0.91% "qwerty"
- 0.82% "12345"
- 0.59% "12345678"
- 0.58% "letmein"
- 0.53% "1234"
- 0.50% "test"
- 0.43% "123"
- 0.36% "trustno1"
- 0.33% "dragon"
- 0.31% "abc123"
- 0.31% "123456789"
- 0.31% "111111"
- 0.30% "hello"
- 0.30% "monkey"
- 0.28% "master"
- 0.22% "killer"
- 0.22% "123123"
また、パスワードの長さは6文字が最多の35.16%で、続いて8文字(15.50%)、7文字(14.60%)、5文字(13.29%)と続いている。
いや、待て (スコア:5, すばらしい洞察)
phpbb.comのパスワードだろ?
これは良く使われる捨てパスワードの傾向なんじゃないかな
Re: (スコア:0)
Re: (スコア:0)
phpbbはじめ登録制フォーラムの多くは登録しないと発言できませんからね。
言いたいことがあったら登録するか、あきらめるか。ACなんて便利なモンはないんです。
その後アカウント管理したくないこともいっぱいあるかと思います。
一回質問して回答もらって終わりとか、おせっかいで口出ししたりね。
いくら自己主張の強い欧米人でもたまにはACでと思うときもあるかもしれませんね。
いやあACって本当にいいもんですね~!
# これが言いたかった。
Re:いや、待て (スコア:1)
そのためのFacebook ConnectやGoogle Friend Connectだと思うんですけどね。
http://code.google.com/p/google-friend-connect-plugins/wiki/PhpbbPlugin [google.com]
Google Friend Connectについては、phpbb用のプラグインがあるようです。
Re: (スコア:0)
何か見ないと自分でも思い出せないようなパスワードなんて、恐ろしくて本アカにこそつけられない。
Re:いや、待て (スコア:1)
捨てアカウントは、123456など、適当なものを利用。
と言いたかったのでは?
Best regards, でぃーすけ
だーかーらー (スコア:2)
生パスワード保存禁止法案まだー?
# 2回目
Re:だーかーらー (スコア:3, 興味深い)
そういや、phpBB のパスワードってハッシュ値が保存されてたんじゃなかったっけ。なんでパスワードそのものが漏れたんだろ?
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:だーかーらー (スコア:2, 興味深い)
>生パスワード保存禁止法案まだー?
これね、僕も前までそう思ってたんですが、最近生で保存することが多くなってるみたい。
というのも、smtpなんかでdigest-md5やcram-md5でのパスワード認証しようとすると生パスワードが必要になる。
ldapとかも生で保存してるみたいですしね...
Re:だーかーらー (スコア:2)
もはやパスワードマネージャに頼るしかないのでしょうか・・・orz
Re:だーかーらー (スコア:1)
生パスワードを保存しなくても良い設計になっています。一方で古い設計の APOPと
か CHAPとかがサーバ側に生パスーワドを要求するので難しいのですが...
Re: (スコア:0)
LDAPで生パスワードを保存しないようにすることは可能です。っていうか他に制約がなければハッシュ値使うのが常識です。
だーってー (スコア:1)
パスワードの管理 (スコア:2, 参考になる)
昔に比べて、パスワードの必要とされる場面が多くなってきてから
分かりにくいパスワードを使い回す運用から、
サイトごとのパスワードを、ローカルの覚え書きファイルに記録していくようになった。
リモートサービスの危険性とローカルがクラックされる危険性を
比べて、後者の方が低いかな、と考えるようになったからです。
サービスの重要度に合わせて、
重要なサービスはなるべくユニークなパスワードを考えて、
どうでもイイサイトだったら、適当なパスワードを使い回すようにしました。
あんまし、強すぎるのも打つのが大変だったりするし。
# 一番信用出来ないのは、自分の記憶力、という年代になってきまして・・・
ノートPCが多そうだと思った (スコア:1, 興味深い)
1から始まる連番はあっても、0123なんかはランクインしてないんですね。
テンキーがあれば連番系のパスワードに0が出てきそうなもんですが、
トップ20に一文字も使われてないってことは、やっぱりノートPCが多いのかな。
Re:ノートPCが多そうだと思った (スコア:2, 興味深い)
ケータイ電話からなんだろう。
…という冗談はおいといて、普通堅気の人なら0から数える事はしないから、0から連想しないだけでは。
それに、フルキーボードからだとしても、指をホームポジションから大きく動かすのが嫌で、連番でいいや…と考えたらすんなりと123…と思いついただけか。
/* Kachou Utumi
I'm Not Rich... */
Re:ノートPCが多そうだと思った (スコア:5, 興味深い)
> 普通堅気の人なら0から数える事はしない
どこまで学術的に確かかはわかりませんが、(元臨床心理士の)松岡圭祐の「千里眼」という作品で、
ミサイルのパスワードを犯罪者に書き換えられて、それを3回のチャンスで当てるという場面があって、
そこで「心理学的に普通(正常)の人はパスワードを0からはじめない」というくだりがありました。
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
From ZERO (スコア:0)
某所の4桁数字の暗証番号、0からはじめてる私は正常じゃないのかなぁ...ガクブル
(もちろん0で始まりやすい誕生日などではありません)
# 秘密保持のためAC
Re:ノートPCが多そうだと思った (スコア:1)
連番は入力が楽ってのも、捨てパスワードとして使われやすい理由じゃないですかね。
僕も、指三本でテンキーで楽にいれられるので、1位の123456と14位の123456789をよく使ってます。
8桁までのところでは6位の12345678に勝手になります。
# /.jのパスワードは違うのでID(笑
Re:ノートPCが多そうだと思った (スコア:1)
選ばれし3本がどの指なのかとても気になるんですがw
Re:ノートPCが多そうだと思った (スコア:2)
人差し指、中指、薬指じゃないのかな。
ピアノ打ちしてると思ったのだけど。
Re: (スコア:0)
よかった! (スコア:1)
俺の使ってるやつは無い。
#って思った奴、手を上げなさい!
Re: (スコア:0)
辞書アタック (スコア:0)
何で~がランク外なんだスレッド (スコア:0)
何でasdf・・・がランク外なんだ (スコア:2)
qwertyより打ちやすいのに。
Re: (スコア:0)
#十把一絡げ
このリスト見て (スコア:0)
パスワード変えた人挙手ノシ