【悲報】 トレンドマイクロが監修した番組の安全なパスワードの作成方法。10年前にパスハッキングツールに搭載された機能と判明【中華系企業】
イマドキは最初から「s0c!@1」とかの辞書で攻撃してくるんだよ。トレンドマイクロのエンジニアは普段ブルートフォース攻撃のログとか見てないの? なんの事業やってる会社なの? 恥を知れよ。こういう有害啓発やってる部隊とり潰せよ。https://t.co/Vq19s809Rb pic.twitter.com/OD8FyNXmvS
— Hiromitsu Takagi (@HiromitsuTakagi) April 5, 2018
さすが、中華系企業、トレンドマイクロ内部ではそんな時代遅れの啓発やってるのかなとか思ってひろみつ先生のツイート流し読んでいたのですが、そんな甘いもんじゃなかった
イマドキこんなことしてたらマジで破られるだぞ! pic.twitter.com/DRulo3gfpD
— Hiromitsu Takagi (@HiromitsuTakagi) April 5, 2018
どうもテレビでこんなのやってたらしい、犯人がどこだとか言ってるツイーと流れてる時点で私も適当にぐぐったら、トレンドマイクロの記事が引っかかった。
パスワード | トレンドマイクロ is702
2009/03/31 の記事なんですが、「英字を数字 記号と似せてパスワードを作成する」を地で記事として公開したままなんですね。
ちなみに、これ セキュリティ教本 として今も公開してる
ひろみつ先生は、Microsoft が今年公開したパスワード攻撃を例に紹介している
Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御 – Japan Azure Identity Support Blog
そんな最近の攻撃なら、馬鹿のトレンドマイクロなら仕方ないんじゃない?って思う人もいるかもしれない。
Do and don’ts for p@$$w0rd$ – Microsoft Privacy & Safety
| The three basic things to remember when creating a strong password are the following:
1. Use a combination of letters, numbers and special characters. Also, remember that some dictionaries used in attacks have a “l33t” mode, which allows common letter/number-to-special character substitutions (like changing a-@, i-1 ,o-0 and s=$, for example, password = p@$$w0rd). Therefore, mix them in different ways so that they are not predictable. 2. Use a combination of upper and lower case letters. 3. Make it lengthy. A longer password does not necessarily mean it is strong but it can help in some cases. |
最も狙われるパスワードは「password」、「p@$$w0rd」でも危ない | 日経 xTECH(クロステック)
| 同社では、破られにくいパスワードを作るポイントを3点挙げている。1点目は、文字と数字と記号を組み合わせること。パスワード破りのツールは辞書攻撃を仕掛けるため、いくら長いパスワードであっても、辞書にあるような言葉を使うと容易に破られるという。
攻撃用の辞書の中には、よくある「記号への置き換え」にも対応しているものがあるので要注意としている。例えば、一般的な単語の「a」を「@」に置き換えた文字列も収録している。「i」を「1」、「o」を「0」、「s」を「$」に置き換えた文字列などにも対応しているという。つまり、「password」の一部を記号に変換した「p@$$w0rd」も、この辞書を使ったツールには簡単に破られる恐れがある。 |
もう、2009年の時点で、ハッキング用の辞書攻撃に、置き換えた文字で攻撃するモードが存在するので意味がないとしているのだ。
この置換モードは leet もしくは l33t もしくは 1337 モード と呼ばれている。
“leet” という言葉を使うのをハッカー同士でも避けるような風潮が10年前からあったので、 leet でググっても見つからないかも知れない。
phrasen|drescher | Portcullis Labs
たとえば、こちらの 比較的有名なパスワードのクラッキングツール用モジュールなのだが、これなんかは 2008年6月に 置換辞書攻撃機能を搭載している。
要するに、その1年もあとに、パスワード文字列として、アルファベットを似たような文字列に置換したパスワードを使うように勧めた、トレンドマイクロは、アンダーグランド界の情報を知らなかったのだ。
もしくは、出てきたタイミング的に、ツールを悪用させるためにデマを広げたグルだったということになる ・ω・
| セキュリティソフトの製作、販売を行うトレンドマイクロのシニアスペシャリスト・高橋昌也さんに伺った。
「まず、パスワードはなるべく複雑にすべきです。最近は数回ログインに失敗すると、ログインさせないようにするものもありますが、基本的にパスワードを破 また、辞書に載っているような一般名詞やSNSで公開している誕生日や記念日などをそのまま使うのは避けるべきだという。とはいえ、覚えにくいものだと苦労しそう…。具体的にどのようなパスワードにするとよいのだろうか? 「まず、好きな言葉と数字を用意し、それを組み合わせます。そして、それらの文字を一部大文字にしたり、aを@、iを1というように記号や数字に置き換えたりすれば、安全性がアップしたパスワードになりますよ」 |
2016年の記事でもトレンドマイクロが出てきた・・・。
ここでは「桜開花」という言葉を一部置換すれば安全だといっている ・ω・ (真顔)
3つ以上の単語をくっつけてパスワードを付ければ安全性は高いといわれているけど、
簡単に関連付くような単語を2つくっつけてもあんまり意味ないだろうと思うわけで、これはひどいw。
| 重要: パスコードは誰とも共有しないでください。また、パスコードは頻繁に変更してください。 強力なパスコードを作成するために、次の例を参考にしてください。ニーズに合わせてこの例を変更できます。 まず、覚えやすい2つまたは3つの単語を挙げます。「white shirt」。 |
トレンドマイクロ内でマニュアル化されてることも判明・ω・
まぁ、これ、複数 組み合わせればいいんだけどね・・・。
置換したり、大文字小文字に変更してもあまり意味がないってのは周知すべきだと思う
パスコードを頻繁に変更することが最重要としてるのも笑える
目からウロコ…安全で簡単なパスの作り方(日本テレビ系(NNN)) – Yahoo!ニュース
| しかし、複雑なパスワードは覚える事は難しいのが現実です。そこで、覚えやすくて安全なパスワードをつくるためのワザをご紹介。まずは、記号や数字を入れるワザ。これはアルファベットのかわりに似た記号を使うというもの。 |
これが、テレビ番組として、トレンドマイクロ監修でやった放送の内容だけど、単独の単語を置換するだけで安全と断言してしまってる。要するに、複数の手段を組み合わせれば安全という前提が完全に欠如しておりアウトである。
これが、トレンドマイクロクオリティだ ・ω・
そもそも、中華系企業なのに、純粋な日本企業だと宣伝してる時点で信頼も何もないわけだが
Translate
フリーウェアで似た文字に置き換えて
パスワードを生成するソフト結構ありますし
自動化出来るということは簡単に対策出来るということなので
今更こういう方法を広めようとするとは
無知過ぎて酷いですね
「テレビで紹介される方法は既に古い」くらいに考えないといけない。
フリーウェアを使うにしても、さらに手動で入れ替え、追加するくらいの慎重さも必要。
生成ソフトを作るにしても、乱数自己生成やタイマーによる乱数ずらしも考慮すべき。
1文字被るくらいはいい。ただし、’a,e,i,o,u,n’ てめーらはダメだ。
黒翼猫さんオススメのセキュリティソフトってあります?
何に入れるセキュリティソフトでしょうか?
Windows10です。今ウイルスバスター使ってるですけど、リアルタイム保護機能が重すぎるんで…
ウイルスバスター、しばらく使ってたけど…。
この手のニュースを聞いて急いで消した。
朝鮮国などに技術渡すとか、最悪ですよね。
もう二度と、使わないことにしました。
家族にも、そういった方がいいかも…。
しかし怖い世の中になったものですね。