カテゴリー
ネットのサービス

テレパスワード – あなたのパスワードの陳腐度を当てるサービス

マイクロソフト研究所の公開したTelepathwords (Telepath + Password)は、あなたが入力した弱いパスワードを警告して当てる実験サービスです。

telepathwords

テキストボックスに、パスワード候補としたい文字列を打ち込んでいくたびに、このサービスが、「次にこの字を使おうとしてるでしょう?」と、3つの候補を表示してきます。

このサービスでは、辞書にある文字列や、よくパスワードに使われる文字列をデータベースとして持っており、それと照合することで、次にユーザーが入れそうな文字を予測するということです。o(オー)を0(ゼロ)に置き換える、ような単純なものも、ちゃんと予測してきます。

予測できてしまうような文字を入れた場合、入力した文字の上に赤いバッテンが表示されます。弱くないパスワードとされるには、×のつかない文字を5つ以上含ませる必要があります。ポケモンのモンスター名のほとんどを知っているなど(英語の名前は違うものも多いでしょうが)、いろんな辞書を持っているようです。

海外のサービスなので、たぶん英語の辞書を中心にチェックしているのだと思います。今は、日本語をローマ字で入れたら、推測されることはかなり減ります。

telepathwords-tokyo

サービスでは、マウスの動きや、文字を打つ間の時間なども測定しており、今後の研究に生かすとしています。

今でも、パスワードを設定するフォームにおいて、あまりにも簡単なパスワード(“1234″とか”password”など)は受け付けなかったり、辞書にある単語だけ入れたら「パスワードが弱い」と警告したり、というフォームは多いですが、そういうところでユーザーが入れようとしたパスワードを先読みして教えるというのは、単純すぎるパスワードを使おうとする利用者への警告の役割を果たすかもしれないですね。

via Telepathwords: How Bad are Your Passwords?

カテゴリー
データ可視化

世界の大型個人情報流出をまとめたインタラクティブグラフ

Informaition is Beautiful(情報は美しい)が作成したWorld’s Biggest Data Breaches(世界最大のデータ流出)は、これまでの大型のデータ流出事件を集めて可視化した、インタラクティブなチャートです。

worlds-biggest-data-breaches

ここでは、3万件以上の顧客情報を流出した企業やwebサービスが記録されています。デフォルトでは、

  • 流出した時期が縦軸に2013年から2004年まで、
  • 左から右へアルファベット順に、
  • 流出したデータの件数の大きさに応じたサイズの丸が

描かれています。それぞれの丸にカーソルを置くと、”read a bit more”というリンクが表示され、実際にどんな情報流出が発生したのかを、もう少し詳しく知ることができます。

リンク先で実際に触ってみてもらうのが一番です。

また、チャートの上にある”Method of Leak”を選ぶと、情報が流出した原因・経路で色分けされます。右上の”Filter by”で、流出原因の一覧を見たり、絞込み表示したりできますが、流出原因としては、以下に分類されています。

  • 間違って公開された
  • ハックされた
  • 内部者による
  • パソコン紛失・盗難による
  • 記録メディアの紛失・盗難による
  • セキュリティレベルが低かった
  • 不明
  • コンピューターウィルス

多いのはどれでしょうか? ハックされた、が一番多いですね。次が間違って公開された。3万件以上の流出(で事件が判明して公開されているもの)は、ウィルスとか盗難というのはそれほど多くないのだなとわかります。

“Data Sensitivity”を選んだら、流出件数ではなく流出したデータの重要さに応じて丸のサイズが表示されるように変わります。

via Data breach interactive chart shows major increase in security flaws | VentureBeat

カテゴリー
技術

Vistaの音声認識セキュリティホールに思う

via Vistaで勝手にファイルを削除されるセキュリティホールが見つかる など

たとえば「ファイルを削除」といった音声をMP3ファイルに録音し、友達に送ります。それを友達が再生すると、マイクが認識してしまえばそのとおりに作動してしまいます。

マイクロソフトから、このセキュリティホールの存在を認めたという返事を貰ったというGeorge Ouの話では、この問題は

  • マイクとスピーカーがつながって
  • 音声認識機能がオンになっている

という状況でのみ発生するらしい(そりゃそうだ)。とりあえずの回避策は、

  • マイクやスピーカーを切れば、このセキュリティホールは発動しない。
  • コマンドを実行するような音楽ファイルを開いてしまったら、メディアプレイヤーを閉じ、音声認識機能をオフにして、コンピュータを再起動するべきということ。(間に合うのだろうか)

いろんなところで、「良くないコマンドを実行させる音声ファイルを送りつけて」みたいに書かれているけど、そんなことしなくても、開くと音が鳴るウェブページに誘導するとか、YouTube等に最初は魅力的な動画で、途中でいきなりコマンドを喋る動画をアップロードするとか、任意の音を鳴らすだけならいろいろありそうな気がする。

# これまで、その手のいたずらは起こってないのかな。動画の途中からいきなり不快なものを挿し込むとか。

MSの回答はもちろん今危険にさらされている人のための暫定的な対策で、今後ちゃんとした対策を考えるのだと思うけど、音声認識機能をあきらめる、という以外の解決法ってどういうものだろう?

OSが音楽を鳴らすときに、「これはOSが鳴らしてる音だよ」みたいな識別信号を(人間に聞こえない周波数で)混ぜたりするのかなあ。しかし、単純なものならそれを含めて音声を作ればいいわけで、そうすると識別信号に時間情報やシステム固有のキーを入れるとか…

それか、自分の出した音をちょっとだけ覚えておいて、それを入力の音声から差し引くとか…

なんにしてもリソースを喰いそうだなあ。CPUベンダーとかハードベンダーが喜ぶかも。