【ネット/セキュリティ】4桁の英字パスワードは3秒で破られる-IPAが注意を呼びかけ[08/10/03]

このエントリーをはてなブックマークに追加
1依頼@台風0号φ ★
 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)は10月2日、2008年9月および第3四半期
のコンピュータウイルス、不正アクセスの届出状況をまとめ、発表した。9月に寄せられた相談や届出の中に、
「登録しているオークションサイトに、身に覚えのない商品が自分のIDで出品されている」といった、アカウント
を不正に利用されたという被害が複数あったという。

 相談の中には、数字だけの組み合わせや簡単な英単語をパスワードに設定していたために容易に見破られ、
アカウントを不正に利用されたと推測されるケースがあった。オークションサイトなどのサービスでは、アカウント
を不正に利用されると金銭的な被害が発生する危険があるため、パスワードの作成や管理には十分な注意が
必要としている。

 オークションなどのサービスを提供するウェブサイトでは、パスワードを作成する際に「英字、数字、記号を
ランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されているケースをよく見かける。
この方法は破られにくいパスワードを作成するポイントとなる。パスワード破りに使用される「パスワード解析
ツール」を使うと4桁の英字のみのパスワードは約3秒で判明できるが、大小の英字と数字の組み合わせでは
約50年かかるとのこと。

 このため、パスワードには文字の種類をできるだけ多く使い、原則8桁以上を設定するようIPA/ISECは呼び
かけている。また、パスワードを記録しておく場合にはIDとパスワードを別々に保管し、月1回など定期的に変更
するべきとした。インターネットカフェなど不特定多数が利用するパソコンには入力しないといったこともポイント
という。

 2008年9月のコンピュータウイルス、不正アクセスの届出状況をみると、ウイルスの検出数は約22万個と、8月
の約19万個から15.1%増加した。また、9月の届出件数は1875件となり、8月の1811件から3.5%増加している。
検出数の1位は「W32/Netsky」で約19万個、2位は「W32/Autorun」で約1万2000個、3位は「W32/Virut」で約9000
個であった。

 不正アクセスの届出および相談の受付状況は、届出件数が14件、相談件数が38件であった。このうち何らか
の被害に遭ったものは、それぞれ12 件、20件となっている。被害届出の内訳は、侵入6件、DoS攻撃が1件、
アドレス詐称が1件、それ以外が4件。また、9月の相談総件数は2154件であり、過去最多だった前月をさらに
大幅に上回った。このうちワンクリック不正請求に関する相談が651件(8月は545件)と4カ月連続で過去最悪
記録を更新している。

 2008年第3四半期(7月〜9月)でみると、ウイルスの届出件数は5134件。不正アクセスは届出件数が48件で、
前四半期の約1.5倍となった。被害があった件数は同1.6倍となっている。

 IPAに届けられた48件のうち、実際に被害があった届出は40件と全体の83.3%を占めた。これらの原因の
内訳は、IDやパスワード管理不備が11件、古いバージョンの使用やパッチ未導入が2件、設定不備が2件など
となっている。なお、届出者の分類は教育、個人、法人でほぼ同率であった。

▽関連スレ
【ネット】ヤフオクID乗っ取り、特定アドレス150万件接続[08/09/26]
http://gimpo.2ch.net/test/read.cgi/bizplus/1222408745/l50
▽ソース:CNET Japan (2008/10/03 14:49)
http://japan.cnet.com/marketing/story/0,3800080523,20381338,00.htm
2名刺は切らしておりまして:2008/10/04(土) 03:23:38 ID:nhA7v+Ot
2
3名刺は切らしておりまして:2008/10/04(土) 03:24:33 ID:+cd/e+bx
4桁の暗証番号を使ってるシステムは
4名刺は切らしておりまして:2008/10/04(土) 03:27:59 ID:3Ue5Q9HB
パスワード必要なもの多すぎで期限付き多すぎで管理しきれん
5名刺は切らしておりまして:2008/10/04(土) 03:29:36 ID:u4VxBzXc
パスワードをすべて暗記するなんて不可能です
6名刺は切らしておりまして:2008/10/04(土) 03:37:17 ID:n5YNOxFn

           日本製ATM完全否定
 
7名刺は切らしておりまして:2008/10/04(土) 03:39:12 ID:hrDEuWAS
中国人の仕業ですね
8名刺は切らしておりまして:2008/10/04(土) 03:40:54 ID:XVC1kLED
意味不明のパスワードは本人が最初に忘れる。
桁数はどの程度の効果があるのよ?
数字入りの文章をローマ字化するくらいなら適応できるんだが。
9名刺は切らしておりまして:2008/10/04(土) 03:44:52 ID:HDI9jOMe
password: pass
10名刺は切らしておりまして:2008/10/04(土) 03:45:57 ID:N9hjqCrQ
パスワードが違いますってすぐに教えるんじゃねぇよ
11名刺は切らしておりまして:2008/10/04(土) 03:46:23 ID:sF5OiXyF
password:nuko
12名刺は切らしておりまして:2008/10/04(土) 03:58:55 ID:nkUcKfos
そりゃ、1バイト文字ならな。
2バイト文字パスワードに出来れば4文字でも安全は高まるだろな。
例えば「ぬるぽー」とか。
13名刺は切らしておりまして:2008/10/04(土) 04:01:05 ID:s0xI8KXV
>>12
そうはいかんざき

ガッ
14名刺は切らしておりまして:2008/10/04(土) 04:02:27 ID:vAw6Pjlm
2chのトリップも数字だけなら割れてるしな
15名刺は切らしておりまして:2008/10/04(土) 04:09:56 ID:I+H1ejU1
そのサイトの英字を、いつも決めている数字に割り込ませてる
決めている数字が「0123」でヤフオクだったら、「0y1h2o3k」って感じに
16名刺は切らしておりまして:2008/10/04(土) 04:12:50 ID:7Grc7PiL
といあえず0を4つ
17名刺は切らしておりまして:2008/10/04(土) 04:15:30 ID:/CSAotQU
ZIPパスワードも、6文字程度なら総当たり1日で解析できるからな
18名刺は切らしておりまして:2008/10/04(土) 04:15:43 ID:HReuEAoK
チャイコフスキーの大序曲で。
19名刺は切らしておりまして:2008/10/04(土) 04:24:21 ID:4sl0cpJu
>>12
そりゃ実質8文字だがな。
20名刺は切らしておりまして:2008/10/04(土) 04:37:05 ID:XVC1kLED
(´・ω・`) ←こんなのが使えればな
21名刺は切らしておりまして:2008/10/04(土) 05:23:04 ID:j+0jzeH0
1967って誕生日にしてるぞ。誕生日で設定する人多いんじゃないか?
22名刺は切らしておりまして:2008/10/04(土) 06:49:33 ID:4AtwDxD2
ようつべで誰でもパスワード再設定のメール送れるのやめてくれよな
気持ち悪いぜ
23名刺は切らしておりまして:2008/10/04(土) 06:50:41 ID:FL/vaT5e
>>21
ちょっとひねって、西暦表示下2桁+(月or日)とか、元号表示+日とか。
あとは自分の生年月日ではなく家族のとか。
(別の方法で決めたんだが、結果的に妹の生年の西暦表示になったpassはある)
24名刺は切らしておりまして:2008/10/04(土) 07:01:08 ID:kIWrs28N
1qaz2wsx とかダメかな?
キーボード左上から順に押してるだけなんだが
25名刺は切らしておりまして:2008/10/04(土) 07:30:30 ID:VF4rYPhZ
だめだよw
26名刺は切らしておりまして:2008/10/04(土) 07:34:15 ID:eXptKEDB
重要なPWはちゃんと英数字、小文字大文字混ぜているけど、ニコニコとかどうでもいいPWは数字だけにしている
27名刺は切らしておりまして:2008/10/04(土) 07:40:17 ID:pW4Rm+1d
PASSWORD 麻生早く解散しろ!
とか全角文字を使いたいね。
28名刺は切らしておりまして:2008/10/04(土) 07:47:57 ID:8hmXet7P
数字4桁の銀行ATMにも突っ込んでやれ
29名刺は切らしておりまして:2008/10/04(土) 08:25:02 ID:GwCf6Y4x
昔ダイアルアップのとき、ウィンドウズのダイアルアップのパスワードが
バグか何かで記憶できなくて、毎回パスワード手動で入力していた。
そしたらその8桁のランダムなパスワード自然と覚えて、今ではそのパスワードで
すべて統一している。
30名刺は切らしておりまして:2008/10/04(土) 08:26:28 ID:Rn+PLGFM
>>24
ぐぐったら 18,000件以上ヒットした。
その手の単語はクラック用の辞書に入ってるかもね。
31名刺は切らしておりまして:2008/10/04(土) 08:33:07 ID:Mh9HX8rO
銀行のことですね。わかります。
32名刺は切らしておりまして:2008/10/04(土) 08:48:52 ID:oPimJct4
オマイラの中で、スパムメールとか送った奴とかいるの?
33名刺は切らしておりまして:2008/10/04(土) 08:57:52 ID:eDzptIjc
そんな勢いで攻撃したらサイトが潰れるだろ
不正アクセスしてパスワードのハッシュが書かれたファイルに直接アクセスして攻撃なら3秒で可能だけど
34名刺は切らしておりまして:2008/10/04(土) 09:00:30 ID:s/v17jj9
30文字くらいにすればぉk
35名刺は切らしておりまして:2008/10/04(土) 09:00:47 ID:VyNyKHtM
一定回数間違えたらロックを当たり前にしろよ。
36名刺は切らしておりまして:2008/10/04(土) 09:06:38 ID:/em7u6qJ
LCDモニターの筐体に書いてある型番をパスワードにしている
長いけど覚えなくても平気w

他のPCでは入力できないのが難点であり利点でもある
37名刺は切らしておりまして:2008/10/04(土) 09:11:07 ID:rg8B6MYQ
パスワード漢字にしろ。
38名刺は切らしておりまして:2008/10/04(土) 09:32:20 ID:GDe+oYak
vip
news
39名刺は切らしておりまして:2008/10/04(土) 10:00:59 ID:GxuXWWLK
銀行のはキャッシュカード自体を盗すむ必要がある。
40名刺は切らしておりまして:2008/10/04(土) 10:06:19 ID:KNZw3HvO
>>39
なんでわざわざ送り仮名間違えたの?
41名刺は切らしておりまして:2008/10/04(土) 10:20:59 ID:AnGgbR2P
円周率を1万桁以上暗記している奴が
最強。
42名刺は切らしておりまして:2008/10/04(土) 10:30:27 ID:im41JcVf
英数字8文字以上じゃないと弾くようにすりゃいい
43名刺は切らしておりまして:2008/10/04(土) 12:01:32 ID:hajoFod8
俺のメインバンクは、ネット取引で
パスワード入力何回か間違えると電話かかってくるよ。
44名刺は切らしておりまして:2008/10/04(土) 12:16:41 ID:8hmXet7P
最初から電話認証にしろよ。
45名刺は切らしておりまして:2008/10/04(土) 12:45:56 ID:YW9BHg6d
すいません教えて下さい
かわいい女子高中生とつきあいたんですが
4桁の英字パスワードは3秒で破られるという情報をつかって
うまくできませんかね?
他スレでは散々罵倒されてながらここを紹介されました
お願いします
46名刺は切らしておりまして:2008/10/04(土) 16:00:26 ID:KEABvQqm
ANA USA(クレジットカード)会社のWeb Passwordは、けっこうめんどくさい。
半角英字と大文字小文字,更に数字を混ぜ合わせないと、Passの設定ができない。
俺は、記号,英大文字,英小文字,数字の組み合わせで、設定している。
47名刺は切らしておりまして:2008/10/04(土) 16:01:12 ID:ffo1Wz1X
4桁の数字は?
48名刺は切らしておりまして:2008/10/04(土) 16:04:08 ID:KEABvQqm
1秒以内だろ
49名刺は切らしておりまして:2008/10/04(土) 16:18:14 ID:ru/BoURo
3回ミスったら使用禁止だろJK 
総当りで突破しようとするなんて不可能
50名刺は切らしておりまして:2008/10/04(土) 16:35:51 ID:z6k8NTOQ
>>8
ここに載ってる
ttp://www.lockdown.co.uk/?pg=combi&s=articles
大文字+小文字+数字で4桁だと2秒以下
大文字+小文字+数字で5桁だと1分30秒
大文字+小文字+数字で6桁だと1時30分
大文字+小文字+数字で7桁だと4日

総当りでだから、実際は数分の一の時間で発見される可能性が高い
51名刺は切らしておりまして:2008/10/04(土) 17:59:26 ID:c30Ykw9M
キタ━━━━━━(゚∀゚)━━━━━━ !!


までいれればな

2chのやつらに一瞬だが
52名刺は切らしておりまして:2008/10/04(土) 18:15:00 ID:m2L0qCoe
パスワード管理ツール
ttp://keepass.info/

まー、面倒と言えば面倒なんだけど、こういうの使って最大長のパスワードを使用するように
している(Yahoo! なら 32 文字)。
これなら ポータブル版もあるから持ち歩けて便利だしね。
53名刺は切らしておりまして:2008/10/04(土) 18:20:19 ID:Mvh2PG+W
スルガ銀行って4桁だけど大丈夫?
54名刺は切らしておりまして:2008/10/04(土) 18:20:19 ID:7/QlUIJD
最低8文字は欲しいな
55名刺は切らしておりまして:2008/10/04(土) 18:21:45 ID:7/QlUIJD
>>53
銀行は3回とか間違えたらロック掛かるだろ、、
まぁ一日2回までなら大丈夫とかだから毎日トライされるかも知れんけど
56名刺は切らしておりまして:2008/10/04(土) 18:24:54 ID:ezEOkL2o
これが便利

ID Manager
http://www.woodensoldier.info/soft/idm.htm
57名刺は切らしておりまして:2008/10/04(土) 18:35:42 ID:1lvuVk/q
ビットキャッシュみたいにひらがなの羅列が最強なのか?
58名刺は切らしておりまして:2008/10/04(土) 18:38:56 ID:Xdz5N0+x
つーか総当り試したら普通はアカウント止まるだろ。
59名刺は切らしておりまして:2008/10/04(土) 18:40:59 ID:hkBhEONF

password:soka

- error - okotowari shimasu!
60名刺は切らしておりまして:2008/10/04(土) 18:43:47 ID:+FXDww0d
好きな単語、数字、+ランダム英数字列の組み合わせで良し
61名刺は切らしておりまして:2008/10/04(土) 18:43:52 ID:2pA3kgDk
>>55
0.3%の確率でまぐれ当たりするんだけど
それでも銀行は保証してくれない、ふざけすぎだろw
62名刺は切らしておりまして:2008/10/04(土) 18:44:13 ID:QUhKZBhz
4桁の英字パスワード

FUKC
KILL
FOOL
PAIN
SHIT
BOMB
63名刺は切らしておりまして:2008/10/04(土) 18:46:51 ID:2pA3kgDk
総当たり試す前に辞書アタックすることもあるから
辞書に載っている単語はもっと速く破られるかもよ
64名刺は切らしておりまして:2008/10/04(土) 18:53:00 ID:dkpGoNpI
FUKC YOU!
65名刺は切らしておりまして:2008/10/04(土) 18:53:25 ID:m2L0qCoe
>>63
> 辞書アタックすることもあるから
でも

>>62
> FUKC
これは大丈夫そうだ。w
6662:2008/10/04(土) 18:56:09 ID:QUhKZBhz
ごほごほ、タイプミス。設定したら、再入力できない。
67名刺は切らしておりまして:2008/10/04(土) 18:59:24 ID:ezEOkL2o
・゚・(ノД`)ヽ(゚Д゚ )ヨシヨシ ← こんなパスワード使えると楽しいかも
68名刺は切らしておりまして:2008/10/04(土) 19:17:14 ID:joINFtQS
>>50
いやに早いと思えば
それは10character=数字10字の総当たりじゃねーか
大文字+小文字+数字で4桁だと24分
大文字+小文字+数字で5桁だと1日
大文字+小文字+数字で6桁だと66日
大文字+小文字+数字で7桁だと11年
が正解だろう
69名刺は切らしておりまして:2008/10/04(土) 19:19:54 ID:1qolKEx7
イソプロピルアルコール
70名刺は切らしておりまして:2008/10/04(土) 19:19:58 ID:qPiACRJV
これからはすべてバイオ認証だな
71名刺は切らしておりまして:2008/10/04(土) 19:21:18 ID:V9bKnodX
っつーか、まともなシステムなら、
3回ミスっただけでロックかかるようにとかしてるだろ。

システムによっては、いったん間違えると、フェイクプラスとかいう
機能が働いて、正しいパスワードを2回入れないと認証できないのもある。
しかも、2回のうち最初の1回目は、パスワードが間違っているという偽の
エラーが出る。

もっと凝ったところだと、フェイクエクステンドとかいって、
一度認証エラーが起きると、正しいパスワードを2回、さらに各桁がすべて
正しいパスワードとは異なる間違ったパスワードを2回いれて、最後に
もういちど正しいパスワードを2回いれることで認証パスするとかいうのもある。
計6回パスワード入れるわけだが、5回目までは、すべて偽のエラーが返ってくる。
ちなみに、3回認証エラーが起これば、それ以降はずっとエラー。
(偽のエラーと同じ応答なので、全然分からない。)
72名刺は切らしておりまして:2008/10/04(土) 19:21:25 ID:KwtnSt84
いろはにほへと 使えば英語ベースのハッカーには対応できないのでは?
73名刺は切らしておりまして:2008/10/04(土) 20:25:23 ID:x6zkcbqk
パスワードに日本語が使えればそれだけで安全なんだ。
日本人がクラックしようとしない限りは
74名刺は切らしておりまして:2008/10/04(土) 20:27:37 ID:VyLa06fV
>>6
全世界共通なシステム
75名刺は切らしておりまして:2008/10/04(土) 20:30:52 ID:z6k8NTOQ
>>68

>A. 10,000 Passwords/sec
>Typical for recovery of Microsoft Office passwords on a Pentium 100
76名刺は切らしておりまして:2008/10/04(土) 21:51:29 ID:IAyIF9D1
>>71
・・・どんなレベルのシステムだとそこまで要求されるんだ?
自治体のシステムじゃ見た事無いから、国機関や銀行の入室管理とかかな?
77名刺は切らしておりまして:2008/10/04(土) 21:55:38 ID:XxrNXksr
>>61
預金の不正引き出し被害は、法改正がされて被害者側に過失が無ければ銀行が全額補償する様になった。

車内にキャッシュカードを置きっぱなしにしてたり等の過失があれば減額されるけどな。
あと被害者の故意や著しい過失による場合は当然補償されない。
78名刺は切らしておりまして:2008/10/04(土) 22:28:58 ID:rzQ8jfuL
失敗したときのリトライ可能時間をもっと多く取れば良いんだよ。
3回失敗したら1時間とか
79名刺は切らしておりまして:2008/10/04(土) 22:47:02 ID:6eVyBam/
うちのパスワードはだーれもしらないような超マイナー漫画のキャラクター名にしてありますから大丈夫です。
しかも2回リピートして10文字以上になってるから完璧。
80名刺は切らしておりまして:2008/10/04(土) 22:50:25 ID:+53QPHXN
10000通りだまってアタックさせるシステムがバカだろ
81名刺は切らしておりまして:2008/10/04(土) 23:07:31 ID:bTcP9CBR
一回ミスったら3秒入力できないにすればいいんでない?
82名刺は切らしておりまして:2008/10/04(土) 23:12:38 ID:dc//hrvX
世の中パスワードだらけで、自分で設定して忘れてしまってるものが・・・
83名刺は切らしておりまして:2008/10/04(土) 23:17:59 ID:tRTwpA5e
ゆうちょダイレクトの13桁は多すぎだと思う。
84名刺は切らしておりまして:2008/10/04(土) 23:18:37 ID:VR327tg1
ネット上では応答時間が数秒あるだろうから、
3秒というのは現実的ではないね。
注意を呼びかけるにしろ、最低限の現実性は必要だ。
85名刺は切らしておりまして:2008/10/04(土) 23:25:05 ID:srkHO8hJ
password : penis

エラー:そのパスワードは短すぎます。
86名刺は切らしておりまして:2008/10/04(土) 23:31:56 ID:mMd/vu9b
誕生日だなぁ。・・・・・・アニメキャラの。
87名刺は切らしておりまして:2008/10/04(土) 23:48:39 ID:MWLzhYTt
政府がOpenIDサイトを運用して社会インフラとして公開しろよ。パスワード1万桁くらいで。
88名刺は切らしておりまして:2008/10/04(土) 23:51:46 ID:6RZtA810
 自分の出身校の校歌の出だしとかだと、
20文字オーバーの国家機密級パスワードが
簡単に作れる。
89名刺は切らしておりまして:2008/10/05(日) 00:10:11 ID:xZrW/weI
>>71
フェイクエクステンドは意味なさそうだな
なんでわざわざ間違ったパスワードを
いれなければならないんだ?
90名刺は切らしておりまして
パスワードの条件が
4文字以上
8文字以上
数字も入っていないといけない
の3パターンを使ってる