FC2ブログ

今回の鯖ハッキングについて

現在MHFを騒がしてる垢ハックについてこれは普段あまりパスワード強度に対する認識の甘いユーザーにとってはいい注意喚起となったのではなかろうか

基本パスワードを盗み取るという行為は以下の2つの手法になる

○実際に事務所などに忍び込んだりして、そのパスワードが保存されてるノートなどを盗んで確認する

○総当りを掛ける

この二つだけである

よく映画などで見られる「パスワードを論理的に解析してハッキングする」なんてことは絶対ない。そんなロジックは存在しない。人の頭の中にハッキングできるわけでもあるまいし、あんなことは不可能である

では実際に行われてるのは2つめの「総当りをかける」ということになる
これにも種類があっていわゆるブルートフォースアタックと呼ばれる完全総当り形式
1がダメなら2で、2がダメなら3でと全通り試してみるやり方。
もう一つが辞書型アタックと呼ばれるもので、単語単位に試してみるやり方
loveでダメならmeで、meでダメならdoで、といった具合である
今回MHFのCOG鯖を襲ったのはこの辞書型の発展型、リスト型アタックのようだ。他のサーバから盗んできたIDとパスワードの情報で総当りを掛けるというもので、他サービスで同じものを使ってる場合は突破されている可能性が非常に高くなる。
いずれにしろデジタルな方法でパスワードを通すというのは総当りしかないのである

よくパスワードで意味のある言葉は避けてくださいというのは辞書型アタックを警戒してのことだ。例えばパスワードilovemyloverとすると字数的にも強度が高く覚えやすいと思われがちだが辞書アタックされるとわずか4文字と同じことになる。あっという間に突破されてしまう

そのため基本パスワードは数字と英字を使って少なくとも10文字以上の意味のない羅列にするのが望ましい。ゲームによってはワンタイムパスワード(毎回パスが変わる)などを導入してもいいだろう

そんなの覚えられねーよという人のために覚えやすく強度のあるパスワードの作り方として、英文でも日本語でもいいが文章をつくってその節の頭文字をとる方法がある

midori no tanuki that japanese tenpra osoba is delicious.

と覚えやすい文を作ってその頭文字mnttjtoidとする。英字だけだと強度が低いのでiを1にoを0にttをt2にピリオドをp変えて「mnt2jt01dp」とする。これで英数字交じりの10文字で強固な覚えやすいパスワードができる。これだけで使いまわすと今回のようにリスト型アタックでひっかかりかねないので例えばゲームごとにMHFなら末尾にMをPSO2なら末尾にPを加えるなど工夫をしよう。一文字違うだけでリスト型は回避できる。末尾だけ大文字にしておけばさらに強度はあがる。これで10文字以上ならまずやられないだろう

こんな感じでパスワードは簡単に考えずにしっかりと管理しましょう

スポンサーサイト



[ 2013/01/12 23:28 ] PSO2 | TB(0) | CM(2)
おぉ!ありがとう(*´ω`)
[ 2013/01/14 00:01 ] [ 編集 ]
特にクレジットカード使ってる人は注意が必要ですよ
あと分けのわからん会社には迂闊にクレジットカード使わないほうがいい。記事はあくまでユーザー側の対処法であってサーバ自体から情報引っこ抜かれたらどうしようもないからねえ。
[ 2013/01/14 19:50 ] [ 編集 ]
コメントの投稿












管理者にだけ表示を許可する
トラックバック
この記事のトラックバックURL