「パスワード」タグアーカイブ

パスワードを決める画面でのアホなルールを集めたリポジトリ dumb-password-rules

dumb-password-rules/dumb-password-rules

パスワードの登録や更新画面で出てきたおかしな制約やエラーを募集している GitHub リポジトリがあります。

あほなパスワードの文字制限を分類

多数の事例が載っていますが、代表的なものをグループ化してみます。

文字種や記号を謎に制限

「% は使えません」「\ は使えません」 – 内部でエスケープしちゃうんですねわかります。ちゃんと作ってあればこんな特例要らないと思うんですが。

「記号で使えるのは ? ! $ €% & * _ = – +. ,:; / () {} [] ~ @ # だけです」

「記号はアンダースコアとハイフンだけ使えます」

「数字や記号は使えません」

「使える記号がありますが、どの記号が使えるかは秘密です」

「パスワードは5-15文字です(が、スペースは文字数としてカウントしません)」

「パスワードに使えない記号は、あなたがそれを入れてみた時だけエラーで教えます」

「パスワードは数字8桁で、0で始まってはいけません」 – 数値型か

「#, %, &, =, /, < などのハッキング文字は使えません」 - ハッキング文字!

長さ指定系

「パスワードは8,9,10文字でなければいけません」

「パスワードは7文字か8文字でなければいけません」

「パスワードは6文字です」 – ATMの暗証番号か

「パスワードは6文字以上です (あとどこにも書いてませんしエラーの原因にも出ませんが最大20文字です)」

「メールアドレスは8文字以上にしてください」 – ユーザーのメールアドレスで選別するの?

「登録フォームのパスワードは最大24文字ですが、実際に使われているパスワードは最初の16文字です(更新フォームで判明)」

技術で解決系

右クリックや Ctrl キーを効かなく(alertが出る)することで、パスワードマネージャーの利用を防ぐ

パスワードを入れる箇所が2か所あるが、コピペやChrome拡張からの自動入力を不可能にすることで、パスワードマネージャーの利用を防ぐ

「パスワードは120日ごとに変更しなければならず、一度使ったパスワードは二度と使えません」

総合力タイプ

「パスワードには記号を含めてください。パスワードには記号は使えません」 どうしろと

「とにかくルール、ルール、ルール!」


顧客や上司がパスワードの文字種について不思議提案をしてきた時に、この事例集を見せて「その発想、やっちゃダメなやつだと笑われてますよ」と言ったら説得できるかもしれません。

via Hacker News

LockScream – MacOS X のロックスクリーンを偽装してパスワードを横取りするツール

悪用しか使い道が無いように思えますが、GitHub で公開されてて入手できるツールです。

LockScream は、Mac で動かすと本物のスクリーンロックに代わって画面をロックするツールです。

起動すると OS に設定した本物の壁紙を表示し、メニューやドックを非表示にし、いろいろなキー入力を無効にします。画面を見ていつものロック画面だと思い込んだユーザーは、ロックを解除しようとパスワードを入れるわけですが、この LockScream がその入力されたユーザー名やパスワードを横取りできてしまえるというわけです。

パスワードはこのツールの裏側で本物のOSに問い合わせられるため、ユーザー名・パスワードが合っているかどうかも正しく判定でき、でたらめなパスワードでは(本物と同じように)エラーになります。動作も本物と同じため、パスワードを奪われたこと自体に気づくこともないでしょう。

横取りしたパスワードは特定のファイルに XOR + Base64 エンコードされて保存されるので、後でこのファイルを回収すれば、所有者のユーザー名/パスワードが入手できてしまいます。

仕込む際と取得したパスワードを回収する際の2回、アンロック状態のMac にアクセスできないといけないので、うかつなユーザー相手でなければそんなに誰でもが引っ掛かるわけではない、かもしれません。

攻撃者としては、ウェブからダウンロードさせて仕込むとか、回収したパスワード情報をネット経由でどこかに送信させるとか、複数の手法を組み合わせることで盗むよう全体を設計するのでしょうね。

ここまで偽装されると、ロック画面がニセモノだと気づいて回避できるかどうか自信がありません。こういったツールが仕込まれないように、アンロック状態でPCを放置しない、がまず重要かと思います。

Eye Disk – 虹彩認証で「ハック不可能(unhackable)」を謳ったUSBメモリのパスワードが簡単に見えてしまう

Kickstarter でプロジェクト成立した Eye Disk は、内蔵カメラで利用者の目の虹彩パターンをチェックし、登録した本人だけがその内容にアクセスできるというクールなUSBメモリです。

… 製品が額面通りのものであれば。

https://www.kickstarter.com/projects/eyedisk/eyedisk-unhackable-usb-flash-drive

本人の目の虹彩パターンに合致しないと中身にアクセスできないUSBドライブ。万一虹彩認証が通らなかった時には、登録しておいたパスワードでも解除ができます。

プロジェクトのトップには “unhackable USB Flash Drive” (ハック不可能なUSBフラッシュドライブ)と大書きされ、本文の途中にも「最もセキュアなUSBフラッシュドライブ」と書いてあります。

しかし先週末に、侵入テストの会社ペン・テスト・パートナーズのデビッド・ロッジさん(David Lodge)が、Eye Disk が本当にハック不可能かどうか検証する記事を上げています。

実際にこの Eye Disk を入手したロッジ氏は、まずハードウェア面を分解して調べます。分解しにくく成形されたUSBドライブについてきた小さな内蔵カメラは目の個人差の特徴をよりよく取得するためか赤外線フィルタが外されていて、他にはUSBコントローラ、カメラコントローラ、NANDフラッシュなどのチップが載っています。

特殊なチップは無さそうなので、虹彩認証の処理はソフトウェア側であろう、と、目星をつけましたが、Visual C++ のコードをデコンパイルして追跡するよりも、とPCとの間の通信を Wireshark で sniff することにしたそう。

SCSI コマンドでリクエストが飛んでいることを見つけた後、実際に自分が設定したパスワードを入れてUSBドライブの中身をアンロックしようとすると、SCSIコマンドのパケット中に自分が入れたパスワードが平文で見えてしまいました。

さらに悪いことには、間違ったパスワードを入れてもデバイス側の正しいパスワードが返送される仕組みになっているというのです。

デバイスに保存されているパスワードをPC側のソフトウェアが平文で入手し、それとユーザー入力のパスワードを比較する、というセキュリティ的にダメダメな作りになっていたという結論を、Eye Disk 側に4月上旬に通告したそうですが、修正の時期や既存ユーザーへの告知を尋ねるメールから一か月の猶予期間に返答が無かったため、今回の情報公開となりました。

ロッジ氏の Eye Disk ベンダーへのアドバイスは、「『ハック不可能なデバイス』という有りもしない(ユニコーンのような)宣伝をしたがるのではなく、デバイスをテストして見つかったバグは直しましょう」だそうです。

Kickstarter でのキャンペーンが開始した時に、複数の人がツイッターで

「セキュリティの専門家に評価してほしい? だったら『ハック不可能』って書くといいよ」といったコメントを既に書いていました。

営業的には大きく打ち出したいのかもしれませんが、”unhackable” という宣伝文句が hack できる人たちの興味を引き、製品のいい加減さが露呈することになった可能性もありますね。

via Hacker News

Words of Heart – 同じパスワードを使う相手を探せる出会い系サービス

Words of Heartは、新しいデート相手探しのサービスですが、一般的な同種のサービスと大きく違う点が一つあります。このサービスは、あなたと同じパスワードを使う運命の相手をピックアップして紹介してくれるのです。

「あなたの内面を表すのに、パスワードほど本質に近いものはないと信じます」と書かれていますね。たしかにパスワードはその人を表す、かもしれません???

サイトを作成したクリストフ・ザハックさん(Krzysztof Zając)は Motherboard の問い合わせに対して「冗談として思いついたけど実装したら面白いだろうと思った」と回答しています。つまりこのサービスは実際に機能し、同じパスワードを持つ相手を探してくれるわけです。

サービスはツイッターで反響を、それも予想以上の反響を呼んだため、サイトトップには「本当のパスワードは使わないでね」という注意書きが増えたそうです。

他人のFacebookアカウントを乗っ取る方法を見つけた人が$15000の報奨金を貰う

アナンド・プラカッシュさん(Anand Prakash)が月曜にブログで報告したのは、フェイスブックで他人のパスワードを取得する方法を見つけたという話。

Facebook のパスワードを忘れた時の再取得の手順は以下のようなものです。

  1. 電話番号かメールアドレスを入れる
  2. 送られてきた6桁の数字を本人の証明として入力
  3. 新しいパスワードを設定する画面に行ける

3でデタラメな数字を入れ続けると、10-12回ぐらい失敗した時点でブロックされてしまうそうです。ですので、6桁の数字を総当たりで試すことなどできないはず(=安全)なのですが、

  • beta.facebook.com
  • mbasic.beta.facebook.com

というfacebookに同じようにアクセスできるサブドメインでこれを行った場合、失敗してもブロックされないのを見つけた、というのです。

何回でも試せるので、10万回繰り返すスクリプトを回し、(他人のパスワードを本当に変えると犯罪なので)自分のアカウントのパスワードの再設定ができることを確認した、ということ。

こちらがデモ動画

Facebook への報告が2月22日、翌23日には修正を確認したということで、もちろん現在はこの手は使えません。

プラカッシュさん、3月2日には、Facebook からセキュリティホール発見の報奨金として$15000(165万円) を受け取ったということです。

ものすごい技術力がある、とかでもなく、beta. というアクセスができる別の入口を知っていた、とか、そこでたまたま試してみた、とか、こんな形でのセキュリティホール発見もあるんですね。これで$15000(165万円) 貰えるのは嬉しいだろうな、とは思いますが、もしこの hack が本格的に悪用されていたらどれぐらいの損害を被っていたかと思うと、Facebook には安く上がったと言えるのではないでしょうか。

もし2月23日以前に「変えた覚えがないのにパスワードが変わってた」ということがあった人は、気づくまでの間に同じ手口でアカウントにアクセスされていた可能性もゼロではないですね。

スマート・インターフォンの Ring に WiFi パスワード奪取のセキュリティホールあり

家のドアに取り付けて、室内だけでなくインターネット越しにスマートフォン等から来客や配達人の応対ができるというスマート・ガジェット Ring に、初歩的な設計ミスが見つかっています。

ring-on-door

こんな感じで、ドアの外に取り付けられる Ring は、中にカメラと電池、無線LAN機能を内蔵していて、来客が来たらネット経由で持ち主を呼び出してくれます。

ペン・テスト・パートナーズ(Pen Test Partners)が今回指摘した問題はこうです。

  • ドライバーで2本のネジを回し、 Ring の本体部分を取り外す
  • オレンジ色の「セットアップボタン」を押す(Ring 自身が WiFi のアクセスポイントAPになって、内蔵のwebサーバが立ち上がる)
  • スマートフォン等で見つかったAPに接続する
  • HTTP で /gainspan/system/config/network に接続する

すると、Ring が接続するように設定されている家庭内の WiFi SSID とパスワード情報が、プレーンテキストで返ってくるようになっていたそうです。つまりは、玄関の外にいる人から、家庭内の WiFi がアクセスし放題になり得るということ。

ring-top-page

「Ring は新レベルのセキュリティーを提供します(Ring provides a new level of security.)」というサイトの宣伝文句は、そういう意味では無かったはず。

Ring 社は、この問題を伝えられて2週間で、問題を解決したファームウェア・アップデートをリリースしたそうです。平文での保存とwebサーバでのアクセス機能を閉じたのだと思いますが、このアップデートを適用すれば、ここまで簡単に WiFi パスワードが抜かれることは無くなりそう。

しかし、暗号化されているにしても、家の外に剥き出しのデバイスの中のどこかに、家の無線LAN の接続情報が記録されていることには変わりがないですね。

屋外設置するものといえば、ウェブにつなげる監視カメラなどインターフォン以外にもあります。自由にアクセスできる屋外のデバイスには、室内に設置するものよりも十分な設計が必要なようですね。

なお、この Ring の値段は $199(2万1890円) 。ペン・テスト・パートナーズも、このスマートなドアベル自体の機能自体については「IoT デバイスにしては珍しく実用的だ」と評しています。

via The Register