びっくり! 有名サイトは未だにこんなひどいパスワードを許している

Amazon、Reddit、Wikipediaをはじめとする超人気サイトなら、”password1″や”hunter2″がひどいパスワードであることをユーザーに教えていると思うかもしれない。しかし、そうではない。有力サイトのパスワード傾向を過去11年間追跡したある調査プロジェクトによると、ほとんどのサイトがパスワードにおおまかな制約しか課しておらずほとんどユーザーの役に立っていない。

英国プリムス大学のSteven Furnellは、2007年にウェブサイトのパスワード傾向の調査を初めて行い、2011年と2014年にも繰り返した。そして今週もう一度実施した。彼の結論はいかに?

2018年の全体傾向が2007年とほとんど変わっていないことに少々失望した。その間、パスワードの選び方や使い方の失敗について多くの記事が書かれてきたが、正しい方法の奨励や義務付けはほとんど進んでいない。

同大学の発表記事によると、Google、Microsoft、およびYahooがパスワード手続きに関しては優秀で、Amazon、Reddit、Wikipediaが最悪であると指摘しているが、詳細については外交的に明言を避けている。幸い私は調査報告を入手したので、名前を明らかにしていこう。

調査対象となったのはトップ10の英語ウェブサイトだ:Google、Facebook、Wikipedia、Reddit、Yahoo、Amazon、Twitter、Instagram、Microsoft Live、およびNetflix。

最悪だったのは間違いなくAmazonで、このサイトには驚くべき価値をもつパーソナルサービスと真に不適切なパスワード制御が同居している。WikipediaとRedditは制約は少ないがいずれのサイトもさほど重要なデータを保護しているわけではない。Amazonアカウントが悪意のハッカーにアクセスされることのほうが危険はずっと大きい。

Amazonは、Furnellが試したパスワードを事実上なんでも受け付けた。ユーザー名の繰り返し、ユーザーの本名、そして永遠不変の古典 “password”も。(NetflixとRedditも “password” を通すがWikipediaは通していない。その一方でWikipediaは “b” のような一文字パスワードを許している。

制限をかけているサイトで、たとえば複数の文字種を要求したりよく使われるパスワードを拒否しているところであっても、きちんと説明できているところは稀だ。何も言われずにアカウントを作り始めたユーザーがパスワードを入力すると、もっと長くなければいけないと言われ、次には特定の単語(ユーザーの姓など)が入っていてはいけないと言われ、さらには特殊文字が含まれていなくてはいけないなどと言われ続ける。さらに、サイトによってはサインアップするときとパスワードを変更する時とで要件がかわるところもある。

なぜ最初に全部言わないのか? その意味では、なぜ背景にある理由を説明しないのか? 小さな情報ボックスに「Yという理由でXが必要です」と書くのは簡単なことだ。しかし、どこのトップサイトもやっていない。

この悲しいレポートの中の唯一明るい光は2要素認証(良いパスワードより間違いなく重要)が普及しつつあることで、パスワードポリシーの最悪犯の中にも採用しているところがある(Amazon、あなたのことだ)。あとはSMSではなく、セキュリティーの高い認証アプリを使うようになればもっとよい。

最後の言葉は過去十年間変わらない:

基本的な考えは——たびたび参照される従来の研究と同じく——ユーザーが直接かかわるセキュリティーには適切な支援が追随する必要があることだ。パスワードは良い例で、多くの人たちがうまく使えていないことをわれわれは知っている。しかし教訓は無視され続け、われわれは方式を批判し続け、代わりにユーザーを責め立てる。

2要素認証はひとつの出発点だが:

ユーザーは2要素認証の利用をもっと促進されるべき、いや、義務付けられるべきだ。そうでなければ、パスワードと同じく、潜在的に保護能力があっても実用的には不十分ということになってしまうだろう。

言い換えれば、悪いパスワードについて話をするのではなく、そのための行動を起こせということだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

Dropbox、パスワード再設定を求める―対象は2012年半ば以降変更していないユーザー

dropbox-blueprint

Dropboxは今日(米国時間8/25)の午後、2012年半ば以降一度もパスワードを変更していないユーザーにパスワードの変更を求める。

2012年6月にLinkedInがハッカーに侵入され、その際盗まれたみられる1億1700万のアカウントのパスワードが今年5月にネットにアップされた。この事態を受けて2012年半ばという時期が決定されたとみられる。最近、過去の大規模なハッキングで盗難にあったパスワードや個人情報がネット上で発見される例が続いている(また今年5月にはMySpaceが大規模にハックされた)。

こうしたデータはいずれもかなり古いものだが、パスワードを変更しないまま長期間放置しているユーザーが多い。また複数のサービスでのパスワードの使い回しも広く行われている。

情報源によれば、Dropboxのインテリジェンス部門は暗号化されないパスワード多数を含むファイルを発見したという。このファイルにはLinkedInのハッキングに関連するとみられるパスワードが含まれていた。「この問題への対処は密かに進められてきた思われるが、ここに来て公の問題となった」と情報源は語った。Dropboxは2012年のLinkedInのハッキングが明らかになった時点で、漏洩したとみられるユーザー名、パスワードを利用して一部へのアカウントにアクセスが試みられたことをブログに掲載している。

これまでのところDropboxではアカウントへの不正なアクセスが成功した例はないと述べている。2012年の事件の際、漏洩によって得られたと見られるアカウント名を含むファイルを用いた攻撃がDropbox社員のアカウントに向けられたことがあった。このアカウント名ファイルの存在に関連してDropboxはユーザーに対し、既存パスワードの変更を求めた。

大規模なパスワードの再設定にはそれなりのデメリットも伴うものの、保管しているデータを保護し、さらなるハッキングを防止するためにはやむを得ない効果的な措置であると考えられている。【略】

また今回のDropboxの決定は、ユーザーに2段階認証を利用する よう呼びかけるよい機会だ。2段階認証はログインンの際に手間が増えるという欠点がある。しかしアカウントのセキュリティーを守る上では最良の手法の一つだ。利用している複数のサービスのセキュリティーが一挙に破られないようする自衛策としては、2段階認証を有効にすることとパスワードの使い回しを止めることが有効だろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Ashley Madisonのアカウント盗難事件が明かす‘愚かなパスワードは不滅です’

screen-shot-2015-08-19-at-1-10-47-pm

人気の不倫サイト(ただし女性の多くはボットだという説もある)Ashley Madisonの最近のハッキング事件は、数百万のアカウント情報が盗まれるという大規模な被害だったが、われわれに再び、あのおなじみの苦(にが)い良薬を服(の)ませてくれた。それは、パスワードは必ず暗号化されるけれども、暗号は愚かしいパスワードの愚かしさを救ってはくれない、という事実だ。

Ashley Madisonは、そのビジネスの実態が世間のひんしゅくを買ったが、ユーザのパスワードは確実に暗号化していたようだ。しかしbcryptでハッシュしたパスワードであっても、元のパスワードがたとえば、123456のように愚かなパスワードなら、簡単に見破られてしまう。

そして、どういう結果になるのか…

セキュリティ企業のAvastは、Ashley Madisonのアカウントデータベース(そこにはbcryptでハッシュされた3600万件のパスワードがある)から最初の100万件を取り出し、それらをパスワード解読ユーティリティhashcatでスキャンした。その結果25393件のユニークなハッシュの解読に成功し、そこに1064件のユニークなパスワードを見つけた。

ここで‘ユニーク’というのは、ものすごく複雑で解読困難、という意味ではなく、‘これまでに解読したものの中にはそれと同じものがない’、という意味だ。25393-1064=24329件のパスワードには、同じものが複数あったのだ。

同社は解読作業のために二つのよく知られているパスワードリストを使った。ひとつは2008年までのThe Top 500 Worst Passwords of All Time(もっとも多いパスワードのトップ500)、もうひとつは、2009年のRockYouのハックで流出した1400万件のパスワードだ。

これらのデータを利用して同社は、Ashley Madisonのパスワードのもっとも多いトップ20を解読した:

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. pussy
  7. secret
  8. dragon
  9. welcome
  10. ginger
  11. sparky
  12. helpme
  13. blowjob
  14. nicole
  15. justin
  16. camaro
  17. johnson
  18. yamaha
  19. midnight
  20. chris

結果は意外でもないが、でもなぜ、nicoleがそんなに多いのだろう?

Ashley Madisonの営業開始は2001年だから、最初の100万のユーザのアカウント情報といえば、ごく初期のユーザかもしれない。

だとするとそれを、最後の(最新の)100万と比べると、おもしろい結果が得られるだろう。そのほぼ15年のあいだに、パスワードの作り方は進歩し、賢くなっただろうか? Avastは、パスワードのデータベースは時系列でソートされていたと‘想定している’と言っているから、実態は不明だ。

でも、年月とは関係なく、一つだけ明らかなのは、人間はとりあえず、自分にとって覚えやすいパスワードを作ろうとすること。人間の脳はデータの貯蔵庫としてあまり高性能ではないから、どうしても、愚かなパスワードが増えてしまうのだ。この状況を修復するためには、新しいユーザ認証技術の登場、または、もっと覚えやすくて使いやすいパスワード技術の登場、どちらかが必要だ。〔関連記事(未訳)。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

セキュリティの重要性が強調される時代、それでも跋扈する「人気」パスワード

2014年は、デジタル・セキュリティについての話題が多く登場した年でもあった。被害者となるのも、もはやテック系の業界に身を置く人や、新手のサービスに関わる人ばかりではない。たとえばSnapchatTarget、あるいはSony Entertainmentの情報が漏洩したりもして、セキュリティ被害というのが誰の身にも起こりえることが明らかになってきた。セキュリティ被害といっても、NSAの動向がどうしたというような難しい話をしようとしているのではない。インターネット上での活動を増加させつつある私たち自身が、十分な対応をとっていないことが多いのだ。たとえばSplashDataがリリースした「最悪のパスワード」(2014年にリークされた300万のパスワードから、「人気」のパスワードをリストしたもの)を見てもそれは明らかだ。十分な強度をもつパスワードを指定することを怠っている人のなんと多いことか。

とりあえず「最悪のパスワード」リストをみてみよう。

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234
8. baseball
9. dragon
10. football
11. 1234567
12. monkey
13. letmein
14. abc123
15. 111111
16. mustang
17. access
18. shadow
19. master
20. michael
21. superman
22. 696969
23. 123123
24. batman
25. trustno1

ちなみに昨年の集計では「password」が1位だった。パスワードと言われたのでpasswordと入力するというような、最低最悪の段階からくらべれば、まあ多少は進化したと言えるのかもしれない。ちなみに「dragon」というパスワードも人気だ。「強さ」により侵略に備えるイメージなのかもしれないが、不的確なパスワードの代表と言える存在だ。

現在では、パスワードの脆弱性を回避するための簡単なツールも用意されている。もちろん「パスワード」という仕組み自体が時代遅れのものとなっているという見方もあるので、そのような中、パスワード用のツールを使うというのはナンセンスだと感じる人もいるだろう。しかし、たとえばパスワード管理ツールを利用することで、パスワードの強度は保たれ、そして更新時もきちんと対処してくれて、安全な場所にパスワードを保存してもらえたりするようにはなるわけだ。

そうはいっても、簡単なツールを利用することすらいやだという人もいることだろう。そういう人は自分の個人情報(誕生日や郵便番号など)と関係した語をパスワードとして用いがちだ。そうした行為は「いけないこと」とされているが、しかしそうした場合でもパスワードを強化する方法はある。

たとえばパスワードとして用いたい語の配列を混ぜてしまうという方法だ。たとえば「123456」や「qwerty」を使っている人なら、順番に混ぜてしまって「q1w2e3r4t5」というパスワードを利用することも考えられる。さらに「My uncle lives in Kansas」を使って「MyUncleLivesInKansas」をパスワードとしたいと考える人もいるだろう。このパスワードはあまりに弱いが、しかしここに番地を加えて「MyUncleLivesInKansas207」とすれば多少の強化にはなる。長くて、そしてアルファベットと数字を混ぜることで、パスワードを強化しつつも覚えやすいものを作ることができる。もちろん完全にランダムなパスワードに比べれば弱いものだ。ただ、こうしたちょっとした工夫をすることで、「最悪のパスワード」リストにあるようなものを使わないで済むようになる。

原文へ

(翻訳:Maeda, H


iOS 8版1Passwordはフリーミアム。一部アプリで指紋認証が利用可能に

1Passwordは、様々なアカウントのために長くて複雑なパスワードを生成し、それを自分で決めた1つのパスワードでアクセスすることによって、セキュリティーを高めるアプリだ。今日(米国時間9/17)iOS 8版が公開され、Touch ID(指紋認証)、一部アプリ(Safariを含む)でのExtensionの利用が可能になると共に、新たな低価格が設定された:無料。

iOS版1Passwordはフリーミアムになり、以前の有料版にあった機能はすべて無料で使える。もしあなたがパワーユーザーなら、新たな “Pro” 機能を利用できる。以前の有料版1Passwordのユーザーは、iOS 8にアップデートすればPro版の全機能が使える

1PasswordのブラウザーおよびSafariで、あらゆるパスワードをTouch IDに隠すことができる他、新バージョンでは、サードパーティーデベロッパーが、Appleの新しい拡張機能を使って1Passwordをアプリに統合できるようになる。今月のAgileBitsのブログ記事によると、1Passwordをアプリで利用したいデベロッパーが現在利用できる機能は以下の通り。

  • Safariで、ログイン、クレジットカード、および個人情報を自動入力する
  • 他の統合したサードパーティーアプリ(ウェブブラウザーを含む)でログインを自動入力する
  • サインアップ時に強力なパスワードを生成する
  • アプリ内でログインパスワードを変えた場合に更新する

デベロッパーはこれらの機能を各自実装する必要があるため、お気に入りのアプリが1Passwordの拡張機能を利用できるまでには、まだ時間がかかるかもしれない。下のGIFアニメは、Stewart Butterfieldの人気ビジネスメッセーシングアプリ、Slackで1Passwordを使っている様子(Touch IDは使っていない)。

[原文へ]

(翻訳:Nob Takahashi / facebook


TwitterがパスワードセキュリティのMitroを買収、製品をオープンソース化

Twitterは同社のニューヨーク支社のために、パスワードのセキュリティを提供する小さなスタートアップMitroを買収する。Mitroは、一つのアカウントで複数の人がパスワードを共有する方法を開発した。

たとえば企業などでは、チームのメンバが何かのサービスのアカウントのパスワードを共有したほうが、情報共有がうまくいく場合がある。Twitterはこのプロダクトのオーナーにはならず、チームは位置関連の開発に回されるらしい。

ただし、これまでの買収と違って、Twitterはこのプロダクトを存続させる。Mitroはオープンソースのプロジェクトになり、同社はElectronic Frontier Foundationと共同でコードを管理し、Mitro自身は自立的で非営利でコミュニティが支えるサービスになる。当面それは、少なくとも年内までは可利用である。同社はMitroのサーバとクライアントのコードのすべてを、GPLライセンスのもとにGitHub上にリリースした

これは、Twitterのこれまでの買収のやり方とは違っている。たとえば同社がPosterousを買収したときは、そのプロダクトを閉鎖し、協同ファウンダで今はY CombinatorのパートナーであるGarry Tanは、 Posthavenという代替プロダクトを作った。Posterousのそれまでのユーザたちが路頭に迷うのを、防ぐためだ。つまりプロダクトにTwitterにとっての戦略的価値がないときには、人材の取得だけを目的とする方が、割に合うのだ。

Mitroはこれまで、Google VenturesとMatrix Partnersから120万ドルの資金を調達している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Evernoteが全ユーザにパスワード変更を要請: 大規模ハッキング行為で個人情報が漏出

evernote

人気のパーソナルノートサービスEvernoteが、その5000万近いユーザに、パスワードの変更を要請している。同社は一両日前に、最近大きく報道されている大規模なハッキング行為の、最新の犠牲者になった。これまでの数週間で、TwitterFacebookなどなども、同種の被害に遭っている。

EvernoteのファウンダでCEOのPhil Libinによると、サイトは全体的に順調に稼働しているが、現状ではユーザに対し、パスワードの変更を求めるフォームが表示される。“この異常事態のため、サーバが混雑し、アクセスが不調になることもある。しかし問題はそれだけであり、知りうるかぎり、ユーザデータへの脅威は存在しない”。

同社のブログ記事によると、“犯人たちはEvernoteのユーザ情報へのアクセスを取得した。それらの情報は、Evernoteのアカウントに結びついているユーザ名とメールアドレスと暗号化されたパスワードであり”、支払決済関連の情報はアクセスされていない。

Libinによると、“ユーザの支払決済情報はサーバ上に保存していないから、被害に遭うことはない”。この前Zendeskを襲い、そのほかのサイトにも被害が及んだ犯行との関連については、現状では何も分かっていない。“Zendeskの件については詳細を知らないので、コメントを申し上げる段階ではない”。

同社広報によると、異状に最初に気づいたのは、(米国時間3/2から)二日前の米国時間2月28日だ:

2月28日に、Evernoteの運用とセキュリティを担当する部門が、異常でしかも悪意あると思われる活動がEvernoteのサービスの上で行われていることに気づき、調査を開始した。その結果判明したのは、一人または複数の個人が、ユーザのユーザ名とメールアドレスと暗号化されたパスワードへのアクセスを取得したことだ。現在行っている分析によれば、ユーザアカウントのそのほかの内容や、Evernote PremiumおよびEvernote Businessの顧客の決済情報への、不法アクセスは生じていない、と判明した。

同社はブログ記事以外に、ユーザへのメールとソーシャルメディアへの投稿で通知を行っている。

“質問や心配事のある方はEvernoteのサポートまで直接申し出ていただきたい”、とその広報担当は言った。

パスワードの変更は、Evernote Food、Evernote Business、Evernote Helloなどなど、そのユーザが使う可能性のあるすべてのEvernoteアプリケーションで行う必要がある。

データ侵犯のニュースが、このところ毎週のようにある。ネガティブなニュースの頻発が、これらのサイトに対するユーザの信頼をどれぐらい損なっているか、そこが問題だ。ユーザは、慣れて不感症になっているのか、それとも、もっと安全そうなサイトへ引っ越そうと考えているのか。大規模ハッキング行為の日常的な横行は、ネットワーク社会をめぐるさまざまな楽観論や理想論に、水を差すことにもなりかねない。

evernote password change

この記事は、引き続きアップデートしていきたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))