カテゴリー
セキュリティ

PoW! Capthca – クライアント側で重い計算をさせるCAPTCHA

PoW! Captcha は、Proof of Work (作業量証明)を組み込んだ CAPTCHA ライブラリです。

ウェブサイトのコメント欄で使われるときのイメージが公開されています

コメント欄の下にプログレスバーが出ていて、これがブラウザが与えられた計算をこなしている進度を示すようです。計算が完了すると投稿ボタンが押せるようになり、コメントを投稿できます。

どうしてこれでスパム投稿が防げるかというと、ブラウザ上で計算するときに消費される計算資源はスパマーのマシンにあるからですね。スパム投稿で同時や連続で多数のコメントをしようとすると、クライアントPC のリソースが大量に使われて動かなくなると。

PoW Captcha も、Pow Captcha が参考にした同様の mCaptcha も、このPoW 方式の利点としてユーザーの追跡をする必要がないことを押し出しています。ローカルで計算させるだけですからね。

依存ライブラリもなくコードもコンパクトだということです。

チューリングテストではないので正確には CAPTCHA じゃありませんが、不正な大量リトライを予防するという意味では CAPTCHA と同様の働きをするのかもしれません。

via Hacker News

カテゴリー
セキュリティ

kwprocessor – パスワード推測のためのキーボード・ウォーク・ジェネレーター

hashcat/kwprocessor は、キーボード上で上下左右に図形を描くことで作れるタイプのパスワード文字列を類推し、総当たりのリストを生成するためのジェネレーターです。

キーボード配置から作ったよくあるパスワード

昔からよくあるパスワードの作り方として、例えば “qwerty” なんていうのがあります。キーボードの左上から順番に右へ一文字ずつ打っていくとこうなりますね。大昔はこれでも「ランダム」で「推測されにくい」パスワードだったのかもしれません。

しかし、とある2020年のありがちなパスワード・ランキングだと、”qwerty” はなんと12位。”1234″ や “000000” よりも良く使われ、そして当然ながら流出しているそうです。

他にもこのパターンのものが多数ランク上位に出ているようです。

キーボード配置からパスワードを作る

「横一列だから甘いんだ。縦も横も使えば難しいパスワードが作れる」と言う人もいるかもしれませんが、本当でしょうか?

kwprocessor は、キーボード上で縦・横にキーを選んでいった際にできる文字列を生成するというツールです。

この図だと、q から始めて右に3個、下に1個、左に3個、という逆コの字型の並びを示すわけですが、kwprocessor はこのような並びでできる文字列を一括で生成してくれます。

ubuntu$ ./kwp --output-file results.txt basechars/q.base keymaps/en-us.keymap routes/2-to-16-max-3-direction-changes.route

これで出来上がるのが以下のようなファイル。1200行ほどの冒頭です。

qa
qw
q1
qaz
qwe
qwer
qwert
qwerty
qwertyu
qwertyui
qwertyuio
qwertyuiop
qws
q1q
qwq
q1`
qas
q12
qaq
qw2
qwsx
q1qa
qasd
q123
qaq1
q1qaz
qasdf
q1234

「キーボードの”q” を起点とし、英語(米国)キーボードで、2~16字までで2回方向を変えた文字列」 を返してくれます。

コマンドに与えているパラメーターファイルですが、

basechars では”q” だけでなく起点となるキーを多数指定することができます。

keymaps ではキーボード配列をカスタマイズできます。ドイツやロシアのキー配列ファイルも用意されていますし、日本語配列を作ることもできるでしょう。

routes ファイルでは上下左右へいくつ動くか、という移動パターンを数字列として複数与えます。一直線や往復、コの字型などのパターンは最初から用意されていますし、独自のパターンを作って与えることもできます。

コマンドラインオプションでは、シフトキーを押した場合やAltキーを押した場合(ウムラウトとかの出力につながるそう)を含めるようにもできているため、途中で大文字や記号を混ぜるという操作をして作られたパスワードも再現できるでしょう。

これらのパターンから自動生成されたリストを有り得るパスワードのリストとして使うことで、総当たりよりもはるかに少ない試行回数でパスワードの発見と突破ができるかもしれません。

この手のパスワードの作り方を今でもしている人がいたら、やり方を変えた方が無難でしょうね。

via Hacker News

カテゴリー
セキュリティ

blacklight – ウェブサイトが訪問者の何を何のために追跡しているか分析するサービス

blacklight紫外線を当てることで普段は見えない隠れたものを見つけるブラックライトからつけられた名前だと思いますが – は、ウェブサイトがどんな追跡コードを埋め込んで、訪問者のどんな情報を追跡可能にしているのか、を検出してくれるというツールサービスです。

このサイトのドメインを入れて試してみました。このサイトには追跡目的のトラッキングコードが入ってない、と出ました。

追跡目的のトラッキングコードとは、一覧とその説明文から、トラッキング 広告トラッカーやサードパーティークッキー、広告ブロックを検出するコード、マウスやキーボードの動きを保存するセッションレコーダーやキーロガー、Facebookに訪問を知らせるFacebook pixel、Googleアナリティックスのターゲット広告用追跡コード、などです。

これらのすべてが悪意を持って悪用される追跡コードではないかもしれませんが、サイトが何を見ているかを気にすることは大事ですし、気になった時に簡単に調べてくれるのはいいですね。

適当なドメインを入れてみた結果。広告収入で運営されているサイトであれば、いろいろ入れてみてもこれぐらいは普通のようです。

サービスはヘッドレスブラウザを使ってそのドメインへ訪問し、自らのデータベースにある既知のトラッキングコードがあるかを突き合わせているようです。検出したトラッキングコードから、そのコードがどの団体へ情報を送っている可能性があるか、なども表示してくれました。