Tag Archives: パスワード

パスワードを決める画面でのアホなルールを集めたリポジトリ dumb-password-rules

dumb-password-rules/dumb-password-rules

パスワードの登録や更新画面で出てきたおかしな制約やエラーを募集している GitHub リポジトリがあります。

あほなパスワードの文字制限を分類

多数の事例が載っていますが、代表的なものをグループ化してみます。

文字種や記号を謎に制限

「% は使えません」「\ は使えません」 – 内部でエスケープしちゃうんですねわかります。ちゃんと作ってあればこんな特例要らないと思うんですが。

「記号で使えるのは ? ! $ €% & * _ = – +. ,:; / () {} [] ~ @ # だけです」

「記号はアンダースコアとハイフンだけ使えます」

「数字や記号は使えません」

「使える記号がありますが、どの記号が使えるかは秘密です」

「パスワードは5-15文字です(が、スペースは文字数としてカウントしません)」

「パスワードに使えない記号は、あなたがそれを入れてみた時だけエラーで教えます」

「パスワードは数字8桁で、0で始まってはいけません」 – 数値型か

「#, %, &, =, /, < などのハッキング文字は使えません」 - ハッキング文字!

長さ指定系

「パスワードは8,9,10文字でなければいけません」

「パスワードは7文字か8文字でなければいけません」

「パスワードは6文字です」 – ATMの暗証番号か

「パスワードは6文字以上です (あとどこにも書いてませんしエラーの原因にも出ませんが最大20文字です)」

「メールアドレスは8文字以上にしてください」 – ユーザーのメールアドレスで選別するの?

「登録フォームのパスワードは最大24文字ですが、実際に使われているパスワードは最初の16文字です(更新フォームで判明)」

技術で解決系

右クリックや Ctrl キーを効かなく(alertが出る)することで、パスワードマネージャーの利用を防ぐ

パスワードを入れる箇所が2か所あるが、コピペやChrome拡張からの自動入力を不可能にすることで、パスワードマネージャーの利用を防ぐ

「パスワードは120日ごとに変更しなければならず、一度使ったパスワードは二度と使えません」

総合力タイプ

「パスワードには記号を含めてください。パスワードには記号は使えません」 どうしろと

「とにかくルール、ルール、ルール!」


顧客や上司がパスワードの文字種について不思議提案をしてきた時に、この事例集を見せて「その発想、やっちゃダメなやつだと笑われてますよ」と言ったら説得できるかもしれません。

via Hacker News

LockScream – MacOS X のロックスクリーンを偽装してパスワードを横取りするツール

悪用しか使い道が無いように思えますが、GitHub で公開されてて入手できるツールです。

LockScream は、Mac で動かすと本物のスクリーンロックに代わって画面をロックするツールです。

起動すると OS に設定した本物の壁紙を表示し、メニューやドックを非表示にし、いろいろなキー入力を無効にします。画面を見ていつものロック画面だと思い込んだユーザーは、ロックを解除しようとパスワードを入れるわけですが、この LockScream がその入力されたユーザー名やパスワードを横取りできてしまえるというわけです。

パスワードはこのツールの裏側で本物のOSに問い合わせられるため、ユーザー名・パスワードが合っているかどうかも正しく判定でき、でたらめなパスワードでは(本物と同じように)エラーになります。動作も本物と同じため、パスワードを奪われたこと自体に気づくこともないでしょう。

横取りしたパスワードは特定のファイルに XOR + Base64 エンコードされて保存されるので、後でこのファイルを回収すれば、所有者のユーザー名/パスワードが入手できてしまいます。

仕込む際と取得したパスワードを回収する際の2回、アンロック状態のMac にアクセスできないといけないので、うかつなユーザー相手でなければそんなに誰でもが引っ掛かるわけではない、かもしれません。

攻撃者としては、ウェブからダウンロードさせて仕込むとか、回収したパスワード情報をネット経由でどこかに送信させるとか、複数の手法を組み合わせることで盗むよう全体を設計するのでしょうね。

ここまで偽装されると、ロック画面がニセモノだと気づいて回避できるかどうか自信がありません。こういったツールが仕込まれないように、アンロック状態でPCを放置しない、がまず重要かと思います。

Eye Disk – 虹彩認証で「ハック不可能(unhackable)」を謳ったUSBメモリのパスワードが簡単に見えてしまう

Kickstarter でプロジェクト成立した Eye Disk は、内蔵カメラで利用者の目の虹彩パターンをチェックし、登録した本人だけがその内容にアクセスできるというクールなUSBメモリです。

… 製品が額面通りのものであれば。

https://www.kickstarter.com/projects/eyedisk/eyedisk-unhackable-usb-flash-drive

本人の目の虹彩パターンに合致しないと中身にアクセスできないUSBドライブ。万一虹彩認証が通らなかった時には、登録しておいたパスワードでも解除ができます。

プロジェクトのトップには “unhackable USB Flash Drive” (ハック不可能なUSBフラッシュドライブ)と大書きされ、本文の途中にも「最もセキュアなUSBフラッシュドライブ」と書いてあります。

しかし先週末に、侵入テストの会社ペン・テスト・パートナーズのデビッド・ロッジさん(David Lodge)が、Eye Disk が本当にハック不可能かどうか検証する記事を上げています。

実際にこの Eye Disk を入手したロッジ氏は、まずハードウェア面を分解して調べます。分解しにくく成形されたUSBドライブについてきた小さな内蔵カメラは目の個人差の特徴をよりよく取得するためか赤外線フィルタが外されていて、他にはUSBコントローラ、カメラコントローラ、NANDフラッシュなどのチップが載っています。

特殊なチップは無さそうなので、虹彩認証の処理はソフトウェア側であろう、と、目星をつけましたが、Visual C++ のコードをデコンパイルして追跡するよりも、とPCとの間の通信を Wireshark で sniff することにしたそう。

SCSI コマンドでリクエストが飛んでいることを見つけた後、実際に自分が設定したパスワードを入れてUSBドライブの中身をアンロックしようとすると、SCSIコマンドのパケット中に自分が入れたパスワードが平文で見えてしまいました。

さらに悪いことには、間違ったパスワードを入れてもデバイス側の正しいパスワードが返送される仕組みになっているというのです。

デバイスに保存されているパスワードをPC側のソフトウェアが平文で入手し、それとユーザー入力のパスワードを比較する、というセキュリティ的にダメダメな作りになっていたという結論を、Eye Disk 側に4月上旬に通告したそうですが、修正の時期や既存ユーザーへの告知を尋ねるメールから一か月の猶予期間に返答が無かったため、今回の情報公開となりました。

ロッジ氏の Eye Disk ベンダーへのアドバイスは、「『ハック不可能なデバイス』という有りもしない(ユニコーンのような)宣伝をしたがるのではなく、デバイスをテストして見つかったバグは直しましょう」だそうです。

Kickstarter でのキャンペーンが開始した時に、複数の人がツイッターで

「セキュリティの専門家に評価してほしい? だったら『ハック不可能』って書くといいよ」といったコメントを既に書いていました。

営業的には大きく打ち出したいのかもしれませんが、”unhackable” という宣伝文句が hack できる人たちの興味を引き、製品のいい加減さが露呈することになった可能性もありますね。

via Hacker News

Words of Heart – 同じパスワードを使う相手を探せる出会い系サービス

Words of Heartは、新しいデート相手探しのサービスですが、一般的な同種のサービスと大きく違う点が一つあります。このサービスは、あなたと同じパスワードを使う運命の相手をピックアップして紹介してくれるのです。

「あなたの内面を表すのに、パスワードほど本質に近いものはないと信じます」と書かれていますね。たしかにパスワードはその人を表す、かもしれません???

サイトを作成したクリストフ・ザハックさん(Krzysztof Zając)は Motherboard の問い合わせに対して「冗談として思いついたけど実装したら面白いだろうと思った」と回答しています。つまりこのサービスは実際に機能し、同じパスワードを持つ相手を探してくれるわけです。

サービスはツイッターで反響を、それも予想以上の反響を呼んだため、サイトトップには「本当のパスワードは使わないでね」という注意書きが増えたそうです。

他人のFacebookアカウントを乗っ取る方法を見つけた人が$15000の報奨金を貰う

アナンド・プラカッシュさん(Anand Prakash)が月曜にブログで報告したのは、フェイスブックで他人のパスワードを取得する方法を見つけたという話。

Facebook のパスワードを忘れた時の再取得の手順は以下のようなものです。

  1. 電話番号かメールアドレスを入れる
  2. 送られてきた6桁の数字を本人の証明として入力
  3. 新しいパスワードを設定する画面に行ける

3でデタラメな数字を入れ続けると、10-12回ぐらい失敗した時点でブロックされてしまうそうです。ですので、6桁の数字を総当たりで試すことなどできないはず(=安全)なのですが、

  • beta.facebook.com
  • mbasic.beta.facebook.com

というfacebookに同じようにアクセスできるサブドメインでこれを行った場合、失敗してもブロックされないのを見つけた、というのです。

何回でも試せるので、10万回繰り返すスクリプトを回し、(他人のパスワードを本当に変えると犯罪なので)自分のアカウントのパスワードの再設定ができることを確認した、ということ。

こちらがデモ動画

Facebook への報告が2月22日、翌23日には修正を確認したということで、もちろん現在はこの手は使えません。

プラカッシュさん、3月2日には、Facebook からセキュリティホール発見の報奨金として$15000(¥1,650,000) を受け取ったということです。

ものすごい技術力がある、とかでもなく、beta. というアクセスができる別の入口を知っていた、とか、そこでたまたま試してみた、とか、こんな形でのセキュリティホール発見もあるんですね。これで$15000(¥1,650,000) 貰えるのは嬉しいだろうな、とは思いますが、もしこの hack が本格的に悪用されていたらどれぐらいの損害を被っていたかと思うと、Facebook には安く上がったと言えるのではないでしょうか。

もし2月23日以前に「変えた覚えがないのにパスワードが変わってた」ということがあった人は、気づくまでの間に同じ手口でアカウントにアクセスされていた可能性もゼロではないですね。

スマート・インターフォンの Ring に WiFi パスワード奪取のセキュリティホールあり

家のドアに取り付けて、室内だけでなくインターネット越しにスマートフォン等から来客や配達人の応対ができるというスマート・ガジェット Ring に、初歩的な設計ミスが見つかっています。

ring-on-door

こんな感じで、ドアの外に取り付けられる Ring は、中にカメラと電池、無線LAN機能を内蔵していて、来客が来たらネット経由で持ち主を呼び出してくれます。

ペン・テスト・パートナーズ(Pen Test Partners)が今回指摘した問題はこうです。

  • ドライバーで2本のネジを回し、 Ring の本体部分を取り外す
  • オレンジ色の「セットアップボタン」を押す(Ring 自身が WiFi のアクセスポイントAPになって、内蔵のwebサーバが立ち上がる)
  • スマートフォン等で見つかったAPに接続する
  • HTTP で /gainspan/system/config/network に接続する

すると、Ring が接続するように設定されている家庭内の WiFi SSID とパスワード情報が、プレーンテキストで返ってくるようになっていたそうです。つまりは、玄関の外にいる人から、家庭内の WiFi がアクセスし放題になり得るということ。

ring-top-page

「Ring は新レベルのセキュリティーを提供します(Ring provides a new level of security.)」というサイトの宣伝文句は、そういう意味では無かったはず。

Ring 社は、この問題を伝えられて2週間で、問題を解決したファームウェア・アップデートをリリースしたそうです。平文での保存とwebサーバでのアクセス機能を閉じたのだと思いますが、このアップデートを適用すれば、ここまで簡単に WiFi パスワードが抜かれることは無くなりそう。

しかし、暗号化されているにしても、家の外に剥き出しのデバイスの中のどこかに、家の無線LAN の接続情報が記録されていることには変わりがないですね。

屋外設置するものといえば、ウェブにつなげる監視カメラなどインターフォン以外にもあります。自由にアクセスできる屋外のデバイスには、室内に設置するものよりも十分な設計が必要なようですね。

なお、この Ring の値段は $199(¥21,890) 。ペン・テスト・パートナーズも、このスマートなドアベル自体の機能自体については「IoT デバイスにしては珍しく実用的だ」と評しています。

via The Register

“Q”と”Z”がパスワードに使えない! 格安航空会社ジェットブルーの謎

HackerNewsで質問され、話題になっていたトピック

格安チケットで有名なアメリカのJetBlue のサイトのヘルプページで、「パスワードに使えない文字」というリストが載っています。他にもいろいろ突っ込みたい制限はありますが、

jetblue-password-restrictions

一番わからないのが「QとZは使えません」という制限。これはなんでだろう? という疑問への回答が、レガシーなシステムを引きずったシステムのたいへんさを明らかにしています。

飛行機やホテルの予約システムSabreの制限だろう」というコメントはすぐにいくつも出ていて、どうやらそれは正しいようなのですが、ではどうしてSabreのパスワードにQとZが使えないのか? 答えは昔の電話にあります。

(photo credit: denisgiles)
(photo credit: denisgiles)
(photo credit: mrbill)
(photo credit: mrbill)

英語圏での電話機は、数字ごとにアルファベットが割り当てられていて、英単語を使って電話番号を覚えたりできるようになっていました。

たとえば、アメリカの無料ダイヤルの1-800で始まる”1-800-PAINTER”という文字がついた数字をダイヤル/タッチしていくと、実際には 1-800-724-6837 に掛かる、というものです。日本では数字の語呂合わせで電話番号を覚えてもらう仕組みができましたが、英語圏では数字ごとにアルファベットを割り当てていたのですね。

# 昔の話かと思いましたが、手元のAndroidでも電話のモードにすると数字の横にアルファベットが表示されますね。こちらは、QやZも4文字目に割り振った国際式のようです。

このアルファベットの割り当てで、(アメリカ式の場合は)QとZはどこにも割り当てられなかった、というのが、JetBlue航空のパスワードでQとZが使えない遠因のようです。0から9までの10個の文字に3個ずつアルファベットを割り当てれば、30個となり、26個しかないアルファベットの全部を使えそうですが、0はオペレーター、1は市外局番用なので、そこにアルファベットを割り当ててしまうと、局番以下で英単語を作る時に使いたい文字が使えなくなることから、0と1以外の8個の数字に3個ずつ→24個、という割り当てとなったそうです。

Sabre での予約などを、電話でアルファベットを伝えることでも行っていたことから、電話で入力できない(電話上に割り振られていない)QやZはパスワードとすることもできなかった、というのが真相のようです。

Sabreシステムの開発開始は1957年、ローンチが1960年ということで、当時の環境から考えられたQとZが使えないという制約が、50年以上たった今のウェブシステムのパスワードの制限にまで続いている、ということなんですね。

だからといって、今までこの制限や他の時代遅れな制限を取り除くチャンスが無かったとは思えないですけど。よく使うパスワードにqやz普通に入ってる人も多いでしょうし。まあ一度動いてしまったシステムの仕様を変えるのがいかにたいへんか、という話の一つなのかもしれません。

スーパーボウルのセキュリティ司令室が、WiFiのパスワードをテレビに大写し

アメリカでは、今まさに年一回のスーパーボウルのゲーム中ですが、このアメリカで最も人気のあるゲームの数時間前に、テレビ局がネットセキュリティ絡みのポカをやったようです。

スーパーボウル・セキュリティ司令センター(Super Bowl security command center)を紹介するCBSネットワークが全米に流したのがこれ

superbowl-security-center-wifi-on-tv

左下に大きく、無線LANのパスワードが映ってます…

しかも、そのパスワードは普通の英単語(welcome!here = ようこそここへ)をいわゆる leetspeak で単純変換しただけの非常に単純なもの。welcomeとあるので、管理者ではなくゲスト用のパスワードではないか、という擁護もredditでは出ていますが、それにしてもねえ。

右下のテロップは「司令センターの秘密を本邦初公開」と言ってますが、公開しすぎじゃないでしょうか。

[追記]

ちょっと信じがたい話なので、元の記事にも当記事にも「フェイクでは?」という反応もあります。

やはり元の動画が無いと、ということでもう少し調べたところ、CBS自身がこの映像をサイトで公開しています。1:20 に上記の画像と同じシーンが登場するのですが、

その前のシーンの遠景では問題の部分が白っぽい背景に何か模様があるのに対して、

cbs-wifi-password-on-air-1

同じシーンでは、パスワードが表示されていた、と言われている箇所が、灰色で塗りつぶされています。

cbs-wifi-password-on-air-2

動画で見ると、スクリーンに灰色の四角が表示されているというよりも、動画を加工して灰色に塗りつぶしたように見えるので、やはり元々は最初の写真のようにまずい情報が映り込んでいたのを、ウェブでの公開に当たって隠したということかな、とも思うのですが。

まあ、CBSが全国放送で元々灰色で一部を隠した動画を公開し、そこに誰かがパスワードの画面を嵌め込んだ、という逆の可能性も無いとはいえないのかな。これ以上はCBSを録画してた人の検証が出てくるかどうか。

via reddit, ZDNet

テレパスワード – あなたのパスワードの陳腐度を当てるサービス

マイクロソフト研究所の公開したTelepathwords (Telepath + Password)は、あなたが入力した弱いパスワードを警告して当てる実験サービスです。

telepathwords

テキストボックスに、パスワード候補としたい文字列を打ち込んでいくたびに、このサービスが、「次にこの字を使おうとしてるでしょう?」と、3つの候補を表示してきます。

このサービスでは、辞書にある文字列や、よくパスワードに使われる文字列をデータベースとして持っており、それと照合することで、次にユーザーが入れそうな文字を予測するということです。o(オー)を0(ゼロ)に置き換える、ような単純なものも、ちゃんと予測してきます。

予測できてしまうような文字を入れた場合、入力した文字の上に赤いバッテンが表示されます。弱くないパスワードとされるには、×のつかない文字を5つ以上含ませる必要があります。ポケモンのモンスター名のほとんどを知っているなど(英語の名前は違うものも多いでしょうが)、いろんな辞書を持っているようです。

海外のサービスなので、たぶん英語の辞書を中心にチェックしているのだと思います。今は、日本語をローマ字で入れたら、推測されることはかなり減ります。

telepathwords-tokyo

サービスでは、マウスの動きや、文字を打つ間の時間なども測定しており、今後の研究に生かすとしています。

今でも、パスワードを設定するフォームにおいて、あまりにも簡単なパスワード(“1234″とか”password”など)は受け付けなかったり、辞書にある単語だけ入れたら「パスワードが弱い」と警告したり、というフォームは多いですが、そういうところでユーザーが入れようとしたパスワードを先読みして教えるというのは、単純すぎるパスワードを使おうとする利用者への警告の役割を果たすかもしれないですね。

via Telepathwords: How Bad are Your Passwords?