「パスワード」タグアーカイブ

Words of Heart – 同じパスワードを使う相手を探せる出会い系サービス

Words of Heartは、新しいデート相手探しのサービスですが、一般的な同種のサービスと大きく違う点が一つあります。このサービスは、あなたと同じパスワードを使う運命の相手をピックアップして紹介してくれるのです。

「あなたの内面を表すのに、パスワードほど本質に近いものはないと信じます」と書かれていますね。たしかにパスワードはその人を表す、かもしれません???

サイトを作成したクリストフ・ザハックさん(Krzysztof Zając)は Motherboard の問い合わせに対して「冗談として思いついたけど実装したら面白いだろうと思った」と回答しています。つまりこのサービスは実際に機能し、同じパスワードを持つ相手を探してくれるわけです。

サービスはツイッターで反響を、それも予想以上の反響を呼んだため、サイトトップには「本当のパスワードは使わないでね」という注意書きが増えたそうです。

他人のFacebookアカウントを乗っ取る方法を見つけた人が$15000の報奨金を貰う

アナンド・プラカッシュさん(Anand Prakash)が月曜にブログで報告したのは、フェイスブックで他人のパスワードを取得する方法を見つけたという話。

Facebook のパスワードを忘れた時の再取得の手順は以下のようなものです。

  1. 電話番号かメールアドレスを入れる
  2. 送られてきた6桁の数字を本人の証明として入力
  3. 新しいパスワードを設定する画面に行ける

3でデタラメな数字を入れ続けると、10-12回ぐらい失敗した時点でブロックされてしまうそうです。ですので、6桁の数字を総当たりで試すことなどできないはず(=安全)なのですが、

  • beta.facebook.com
  • mbasic.beta.facebook.com

というfacebookに同じようにアクセスできるサブドメインでこれを行った場合、失敗してもブロックされないのを見つけた、というのです。

何回でも試せるので、10万回繰り返すスクリプトを回し、(他人のパスワードを本当に変えると犯罪なので)自分のアカウントのパスワードの再設定ができることを確認した、ということ。

こちらがデモ動画

Facebook への報告が2月22日、翌23日には修正を確認したということで、もちろん現在はこの手は使えません。

プラカッシュさん、3月2日には、Facebook からセキュリティホール発見の報奨金として$15000 を受け取ったということです。

ものすごい技術力がある、とかでもなく、beta. というアクセスができる別の入口を知っていた、とか、そこでたまたま試してみた、とか、こんな形でのセキュリティホール発見もあるんですね。これで$15000 貰えるのは嬉しいだろうな、とは思いますが、もしこの hack が本格的に悪用されていたらどれぐらいの損害を被っていたかと思うと、Facebook には安く上がったと言えるのではないでしょうか。

もし2月23日以前に「変えた覚えがないのにパスワードが変わってた」ということがあった人は、気づくまでの間に同じ手口でアカウントにアクセスされていた可能性もゼロではないですね。

スマート・インターフォンの Ring に WiFi パスワード奪取のセキュリティホールあり

家のドアに取り付けて、室内だけでなくインターネット越しにスマートフォン等から来客や配達人の応対ができるというスマート・ガジェット Ring に、初歩的な設計ミスが見つかっています。

ring-on-door

こんな感じで、ドアの外に取り付けられる Ring は、中にカメラと電池、無線LAN機能を内蔵していて、来客が来たらネット経由で持ち主を呼び出してくれます。

ペン・テスト・パートナーズ(Pen Test Partners)が今回指摘した問題はこうです。

  • ドライバーで2本のネジを回し、 Ring の本体部分を取り外す
  • オレンジ色の「セットアップボタン」を押す(Ring 自身が WiFi のアクセスポイントAPになって、内蔵のwebサーバが立ち上がる)
  • スマートフォン等で見つかったAPに接続する
  • HTTP で /gainspan/system/config/network に接続する

すると、Ring が接続するように設定されている家庭内の WiFi SSID とパスワード情報が、プレーンテキストで返ってくるようになっていたそうです。つまりは、玄関の外にいる人から、家庭内の WiFi がアクセスし放題になり得るということ。

ring-top-page

「Ring は新レベルのセキュリティーを提供します(Ring provides a new level of security.)」というサイトの宣伝文句は、そういう意味では無かったはず。

Ring 社は、この問題を伝えられて2週間で、問題を解決したファームウェア・アップデートをリリースしたそうです。平文での保存とwebサーバでのアクセス機能を閉じたのだと思いますが、このアップデートを適用すれば、ここまで簡単に WiFi パスワードが抜かれることは無くなりそう。

しかし、暗号化されているにしても、家の外に剥き出しのデバイスの中のどこかに、家の無線LAN の接続情報が記録されていることには変わりがないですね。

屋外設置するものといえば、ウェブにつなげる監視カメラなどインターフォン以外にもあります。自由にアクセスできる屋外のデバイスには、室内に設置するものよりも十分な設計が必要なようですね。

なお、この Ring の値段は $199 。ペン・テスト・パートナーズも、このスマートなドアベル自体の機能自体については「IoT デバイスにしては珍しく実用的だ」と評しています。

via The Register

“Q”と”Z”がパスワードに使えない! 格安航空会社ジェットブルーの謎

HackerNewsで質問され、話題になっていたトピック

格安チケットで有名なアメリカのJetBlue のサイトのヘルプページで、「パスワードに使えない文字」というリストが載っています。他にもいろいろ突っ込みたい制限はありますが、

jetblue-password-restrictions

一番わからないのが「QとZは使えません」という制限。これはなんでだろう? という疑問への回答が、レガシーなシステムを引きずったシステムのたいへんさを明らかにしています。

飛行機やホテルの予約システムSabreの制限だろう」というコメントはすぐにいくつも出ていて、どうやらそれは正しいようなのですが、ではどうしてSabreのパスワードにQとZが使えないのか? 答えは昔の電話にあります。

(photo credit: denisgiles)
(photo credit: denisgiles)
(photo credit: mrbill)
(photo credit: mrbill)

英語圏での電話機は、数字ごとにアルファベットが割り当てられていて、英単語を使って電話番号を覚えたりできるようになっていました。

たとえば、アメリカの無料ダイヤルの1-800で始まる”1-800-PAINTER”という文字がついた数字をダイヤル/タッチしていくと、実際には 1-800-724-6837 に掛かる、というものです。日本では数字の語呂合わせで電話番号を覚えてもらう仕組みができましたが、英語圏では数字ごとにアルファベットを割り当てていたのですね。

# 昔の話かと思いましたが、手元のAndroidでも電話のモードにすると数字の横にアルファベットが表示されますね。こちらは、QやZも4文字目に割り振った国際式のようです。

このアルファベットの割り当てで、(アメリカ式の場合は)QとZはどこにも割り当てられなかった、というのが、JetBlue航空のパスワードでQとZが使えない遠因のようです。0から9までの10個の文字に3個ずつアルファベットを割り当てれば、30個となり、26個しかないアルファベットの全部を使えそうですが、0はオペレーター、1は市外局番用なので、そこにアルファベットを割り当ててしまうと、局番以下で英単語を作る時に使いたい文字が使えなくなることから、0と1以外の8個の数字に3個ずつ→24個、という割り当てとなったそうです。

Sabre での予約などを、電話でアルファベットを伝えることでも行っていたことから、電話で入力できない(電話上に割り振られていない)QやZはパスワードとすることもできなかった、というのが真相のようです。

Sabreシステムの開発開始は1957年、ローンチが1960年ということで、当時の環境から考えられたQとZが使えないという制約が、50年以上たった今のウェブシステムのパスワードの制限にまで続いている、ということなんですね。

だからといって、今までこの制限や他の時代遅れな制限を取り除くチャンスが無かったとは思えないですけど。よく使うパスワードにqやz普通に入ってる人も多いでしょうし。まあ一度動いてしまったシステムの仕様を変えるのがいかにたいへんか、という話の一つなのかもしれません。

スーパーボウルのセキュリティ司令室が、WiFiのパスワードをテレビに大写し

アメリカでは、今まさに年一回のスーパーボウルのゲーム中ですが、このアメリカで最も人気のあるゲームの数時間前に、テレビ局がネットセキュリティ絡みのポカをやったようです。

スーパーボウル・セキュリティ司令センター(Super Bowl security command center)を紹介するCBSネットワークが全米に流したのがこれ

superbowl-security-center-wifi-on-tv

左下に大きく、無線LANのパスワードが映ってます…

しかも、そのパスワードは普通の英単語(welcome!here = ようこそここへ)をいわゆる leetspeak で単純変換しただけの非常に単純なもの。welcomeとあるので、管理者ではなくゲスト用のパスワードではないか、という擁護もredditでは出ていますが、それにしてもねえ。

右下のテロップは「司令センターの秘密を本邦初公開」と言ってますが、公開しすぎじゃないでしょうか。

[追記]

ちょっと信じがたい話なので、元の記事にも当記事にも「フェイクでは?」という反応もあります。

やはり元の動画が無いと、ということでもう少し調べたところ、CBS自身がこの映像をサイトで公開しています。1:20 に上記の画像と同じシーンが登場するのですが、

その前のシーンの遠景では問題の部分が白っぽい背景に何か模様があるのに対して、

cbs-wifi-password-on-air-1

同じシーンでは、パスワードが表示されていた、と言われている箇所が、灰色で塗りつぶされています。

cbs-wifi-password-on-air-2

動画で見ると、スクリーンに灰色の四角が表示されているというよりも、動画を加工して灰色に塗りつぶしたように見えるので、やはり元々は最初の写真のようにまずい情報が映り込んでいたのを、ウェブでの公開に当たって隠したということかな、とも思うのですが。

まあ、CBSが全国放送で元々灰色で一部を隠した動画を公開し、そこに誰かがパスワードの画面を嵌め込んだ、という逆の可能性も無いとはいえないのかな。これ以上はCBSを録画してた人の検証が出てくるかどうか。

via reddit, ZDNet

テレパスワード – あなたのパスワードの陳腐度を当てるサービス

マイクロソフト研究所の公開したTelepathwords (Telepath + Password)は、あなたが入力した弱いパスワードを警告して当てる実験サービスです。

telepathwords

テキストボックスに、パスワード候補としたい文字列を打ち込んでいくたびに、このサービスが、「次にこの字を使おうとしてるでしょう?」と、3つの候補を表示してきます。

このサービスでは、辞書にある文字列や、よくパスワードに使われる文字列をデータベースとして持っており、それと照合することで、次にユーザーが入れそうな文字を予測するということです。o(オー)を0(ゼロ)に置き換える、ような単純なものも、ちゃんと予測してきます。

予測できてしまうような文字を入れた場合、入力した文字の上に赤いバッテンが表示されます。弱くないパスワードとされるには、×のつかない文字を5つ以上含ませる必要があります。ポケモンのモンスター名のほとんどを知っているなど(英語の名前は違うものも多いでしょうが)、いろんな辞書を持っているようです。

海外のサービスなので、たぶん英語の辞書を中心にチェックしているのだと思います。今は、日本語をローマ字で入れたら、推測されることはかなり減ります。

telepathwords-tokyo

サービスでは、マウスの動きや、文字を打つ間の時間なども測定しており、今後の研究に生かすとしています。

今でも、パスワードを設定するフォームにおいて、あまりにも簡単なパスワード(“1234″とか”password”など)は受け付けなかったり、辞書にある単語だけ入れたら「パスワードが弱い」と警告したり、というフォームは多いですが、そういうところでユーザーが入れようとしたパスワードを先読みして教えるというのは、単純すぎるパスワードを使おうとする利用者への警告の役割を果たすかもしれないですね。

via Telepathwords: How Bad are Your Passwords?