はてなキーワード: クラッキングとは
何年か前に「あなたのIDとパスワードを手に入れました」的なメールが来て、どこぞのサイトがパスワードを平文で保存していたらしく、確かに自分が使っているIDとパスワードのひとつだった。
ただ、IDは他のいくつかのサイトでも使っているがパスワードはサイト毎に変えているので放っておいた。
それが、最近になって複数のサイトから覚えのないログイン通知が来たので確認したところ、確かに不正ログインされたようであった。
サイト毎にパスワードを変えていたと書いたが、内容が「固定文字列+そのサイトの略称」というものだったので、今までは流出したパスワードをそのまま入力するだけだったクラッキング用のプログラムが、サイトの略称と思われる文字列を置き換えるようになったのだと思われる。
13桁で英数字混じりなら総当たりで10万年レベルの時間がかかる
「クラウドで並列化すれば〜」
まぁ最大なので実際にはそれより短い時間で解けるけれど総当たりするにしては割に合わない
とか言う人もいるが当然一文字でも違ったら解けない
この手の辞書攻撃はヒューリスティックになるからせいぜい10種類×並び替え×数字4桁総当たりぐらいしか試せない
うちの社内で回ってくるファイルのパスワードが数字4桁だったり8文字アルファベットなことを考えたら13桁の英数字ってのはもの凄くマシだと思う
もちろん巷でささやかれているような簡単な13桁でヒットする可能性もあるわけだが
一般的に考えたらパスワードが13桁の英数字であることをバラすのはそんなに問題ではないと思う
「13桁だからこれじゃない?」という推測を垂れ流している行為がクラッキングに加担しているのだが、自覚を持ってない人間が多くてビビる
氷山に気づいて避けようとするあたり
いまずっとアエラドット(朝日)とか毎日が偽予約試した話の是非をずっと言ってるのは「クラッキングもそうだけど欺瞞データ流すのもいけない行為だよ」っていうITの基本中の基本を分かってもらうためなんだよ
単にシステムの出来だけで片付けられたら、今後新しいシステムを注文してくる顧客が「いいか?絶対にバグらないしエラーも起こさないシステム作れよ」みたいな無理難題を言うことが社会通念的に通ってしまう、言うなればそれが普通みたいな空気が形成されるんだよ。そしたら日本のITは死ぬぞ!
国憎しはいいけどそれで偽データ予約を正当化するのやめてくれないかな!?
国が憎いなら言うならこうだ