はてなキーワード: パスワードとは
だいたいのサイトは「8文字以上で記入してください」って最低文字数は書いてあるが
「最高文字数を超えている」とか「記号は不可」とか、記号は可能だけど「使用できない記号が入っている」とか
そういう条件が送信してから初めて分かるクソUIで、3度ほど送信しなおすはめになる
最近は、ウェブサイトによってパスワードを切り替えてくださいとか口すっぱく言われてる為
いちいち覚えてないでパスワード管理ソフトが自動生成したものを使ってる人も多いと思う
例えばこんな感じ
英数字・記号まじりの50文字のパスワードを自動生成させ、入力する
まずだいたい「32文字以内で入力してください」って返される
次に32文字以内にして送信するが「使用できない文字が含まれています」と表示される
記号を含めたのがいけないらしいが、どの記号なのかは分からない
私が使っているソフトには「ランダム生成のパスワードに特定の記号を含めない」という設定はないし
そもそもそのサイトに使用不可な(または使用可能な)記号が書いてないので設定しようがない
たまに16文字しか入力できないクソサイトに出会い、パスワード管理ソフトが表示する「パスワード強度」の低さに罪悪感を感じる
http://anond.hatelabo.jp/20141130202457
はてな匿名ダイアリーは、その名の通り匿名の日記サービスです。説明するまでもありませんが、匿名というのは誰が書いたのか分からないということです。
しかし、誰が書いたのか分からないというのは、なにも匿名サービスだけの特徴ではありません。はてなや、Twitterや、Facebookなどでも、同一アカウントだからといって、同じ人物が書き込んでいる保証はどこにもありません。同一アカウントだったら同じ人が書いているという前提でネットは成り立っているのです。本当に誰が書いたのかを知っているのは当人だけで、基本的に第三者はそれを確認することはできません。
もしかしたら、回線の向こう側にいるのは、知らない誰かなのかもしれないし、ただのプログラムなのかもしれないし、それとも、もっと別の何かなんてことも――。
今年の夏、私が体験した話です。
八月の中頃、時刻は夜の十一時すぎだったと思います。とても暑い夜でした。いつもよりクーラーの設定温度を下げて、扇風機を首振りさせず、直接身体に風を当てるようにしていました。
この時、私は特に何もしていませんでした。メインPCの前に座って、Steamのゲームを触ったり、Twitterのタイムラインを眺めたり、はてなブックマークから気になる記事を読んだり、ゲーム配信を見たり、色々やってはいましたが、ただ暇をつぶしていただけ、これといった目的はありませんでした。
はてなブックマークのリンクをたどっていく内に、はてな匿名ダイアリー、いわゆる増田の記事を開きました。記事は程度の低い釣りでした。反応するのも馬鹿らしいので、私は早々に読むのをやめて増田のトップページを開きました。ざっと流し読みして、面白そうな記事を探しましたが、何もありませんでした。3ページほどで見切りをつけて、何か文章を投稿しようと思ってログインしました。
「あれ?」
一人なのに思わず声をあげてしまいました。日記の一番上に見慣れない記事があったのです。
まんまんまんまるまんこ
なんでちんこはおおきくなるの
それはまんまんまんこへいれるためさ
レッツピストン!
ぬっぷぬっぷぬぷぬっぷ
ずっぽずっぽずっぽずっぽ
どぴゅどっぴゅどっぴゅっぴゅー
当然、トラックバックもブックマークもついていませんでした。タイムスタンプは朝の六時半過ぎです。その時間は寝ているので、私が書き込んでないことは明白でした。
パスワードが漏れて不正ログインされたのか、もしくは、増田のシステムにバグがあって別の誰かの文章が表示されているのか。
私はF5キーを押してリロードしてみました。画面に変化はありません。ログアウトして、再ログインしました。先ほどの文章はまだあります。表示のバグではないようです。
そもそも、はてな匿名ダイアリーは古いシステムです。今になってこんなバグが出てくるとは思えません。つまり、不正ログインされた可能性が高いということになります。
私は、すぐにはてなのアカウントのパスワードを変更しました。ひとまずこれで様子を見ようと思いました。
増田に戻って自分の日記一覧を見ると、あの下らない文章が居座り続けています。だんだんと腹が立ってきました。はてな側に私が書いたと思われるのが苦痛でした。私は編集画面を開いて、何のためらいもなく削除ボタンを押しました。
一秒程度の通信待ち時間が入って、日記の一覧画面へ戻ります。あの文章は消えていました。しかし、一番上には別の見覚えのない文章がありました。
消すなよ
たった四文字でしたが、私は呼吸もまばたきも忘れ、数秒間、その文字から目を離すことができませんでした。少し視線をずらしてタイムスタンプを確認すると、たった今、PCの時刻と同じ数字が表示されています。
編集画面を開いて、削除ボタンを押し、日記一覧画面へ戻るまで、せいぜい五秒程度しかかかっていないはずです。たとえアカウントを乗っ取っていたとしても、私が日記を削除しようとしたことを察知してから、五秒以内に「消すなよ」と日記を投稿することができるはずがありません。
こんなの人間業ではありません。
人間ではない。
急に肌寒くなりました。鳥肌が立っています。私は扇風機とクーラーの電源を切りました。
ウィルスに感染してPCが乗っ取られている可能性も否定できません。私はメインPCの電源を落としてMacBook Airの前へ移動しました。
私は増田にログインして自分の日記一覧ページを開き、「消すなよ」の編集ページを開いて削除しました。メインPCが乗っ取られていたのなら、こちらのマシンからの削除に反応できるはずがありません。
そして、一覧ページに切り替わり、
消すな
新しい書き込みがありました。
心臓が激しく鼓動しています。指先が震えてきました。私は混乱していました。電源ボタンを長押ししてmacをシャットダウンさせました。
iPhoneを持ってベッドに寝転びました。ブラウザから増田にログインして編集ページを開き削除。これでもう大丈夫だ。私は根拠もなく確信していました。
ページが切り替わりました。
お前を消すぞ
私はiPhoneを投げ捨てました。そのままベッドで震えながら朝を迎えました。
さいわい、私が消されることはありませんでした。
これを機に、私はネットをやめました。通販ができないのは多少不便でしたが、また同じようなことが起こるのを想像すると、恐ろしくてネットへ接続する気になりませんでした。仕事中も必要な情報を検索する以上のことはしませんでした。個人のメールもブログもSNSも全部放置していました。
今回、私がこうしてネットに繋いで書き込んでいるのは理由があります。
先日、実家から電話がかかってきて、メールぐらい確認しろと怒られました。しかたなく、私はネットに繋いでGmailを開きました。山のようにたまったメールから実家からのメールを探して処理しました。
ふと、はてなから来ているメールに目が止まりました。はてなスターのレポートです。スターが押されたURLからそのブックマークは、ごく最近にブックマークされたことが分かります。
私は愕然としました。
私は八月中旬から今まで、ずっとネットに繋いでいなかったのです。だから、私のaoi_tomoyukiというアカウントは、ずっと沈黙しているのが当然だと思っていました。しかし、私のアカウントはネットに繋いでいなかった期間もそれまでのように、私が書き込んだかのようなコメントを残しているのです。
八月にアカウントを乗っ取った何者かが、ずっと私のふりをして書き込んでいたということでしょうか。なぜそんな意味のないことをするのでしょう。それに、あの時の「消すな」と書き込んだ早さは、人間がやったとは思えません。
いったい、何者が私のアカウントを乗っ取ったのでしょうか。
その何者かは、私が繋いでいない期間、ずっと私の代わりに書き込んでいました。私がいなくても、私のアカウントは平常運行していました。ということは、私は必要なかったことになります。私がいなくても、私のアカウントは活動し続ける。
お前を消すぞ
私のアカウントは私がいなくても存続できる。
私が消えてしまった。
私は誰なのでしょう。
私が偽物なのでしょうか。
おしえてください。
自分にも同じ経験がある。あるドメインを持っていてメールはcatch all の設定、
つまり@マーク以前がなんであれ自分にメールが届くようにしていたのだが
いろんな奴が俺のドメインを使っていろんなサービスに登録しやがるのだ。
HPを公開していないのでブラウザでそのドメインにアクセスしても繋がらないから存在しないと
思っているのだろう。
おかげで自分では止められないメールマガジンやらメンテナンスのお知らせがバンバン届いた。
最初のうちはサービス提供会社に連絡してアカウントを停止してもらっていたのだが
元記事と同じようにパスワードリセットして自分で止めたろかと思ったこともあるが
不正アクセスになる可能性を考え実行しなかった。
元増田の文章では、俺の心の内面と自体の進行を客観的に書いたから、俺が「悪意」があるとはっきりわかるが、現実はそんなに単純じゃないよ。
仮に俺が「善意」で、「あれ、俺ってこんなサービスに登録したっけな・・・覚えてないな。ちょっと興味でアカウント作ってそのまま忘れたのかな・・・?」って思ってパスワード再設定する可能性も十分あるよね。自分にメールが来ているんだから。
旅行の風景写真なら誰が撮っても似たような物だし、おかしいな・・・俺こんな写真撮ったっけな・・・?とか思いながらも見ざるを得ないだろ。数十枚見て、はっきりと明確に他人だと確認できる写真が出てきて、「あ、俺のじゃ無い。違う」とわかって、そこからさらに「なんでこんなことが起こったんだ?」って考える時間があるわけだ。それをアクセスログから「不正アクセスだ」とされたらたまったもんじゃないね。
あるいは、アクセスした時間が短ければセーフなのか?判断が鈍かったのは犯罪か?彼女のアレ写真で抜いたのが犯罪か?(まぁこれは犯罪ぽいがw)。
誰かが俺の心の内面を覗くことができ、かつそれが裁判で有効なら、あなたの言うとおりだろうね。
でも逆に言うと、俺が「あれ、こんなサービスに登録した覚えないけどな・・・。昔に軽い気持ちで登録してそのまま忘れたのかな?パスワードも覚えてないや・・・」といって「善意で」普通にパスワードリセットしたという可能性もあるよね?それを否定できる?
「識別情報以外の情報や指令」はどれにあたるのだろうか?パスワードリセットのリクエストだろうか?それともパスワードの再設定自体だろうか?
以下は専門家による論説だと思われるけど、
http://www.law.osaka-u.ac.jp/~kikuo/201103.pdf
条文そのものが難解であり、解釈が難しい
と書かれてもいるし、条文解釈の議論は、裁判所の判例が無い限り平行線だ。
今回の件に関して言えば、焦点は、手段よりも「アクセス権の有無」だと思うのだが。
とはいえ、ご意見ありがとうございます
(補足有り)
以下のような夢を見た。もし仮にこれが現実だったとして、違法だろうか?不正アクセスに該当するかどうか?意見を聞きたい。
いいか、あくまでこれは夢だぞ。
-----
あるインターネット上のサービスから、身に覚えの無いメールが届いた。
「いつも当社ABCサービスをご利用いただきありがとうございます。有料サービスに申し込むとより便利に〜」
調べてみると、ABCサービスというのはインターネット上に写真やデータを保存することができる、いわゆるクラウドサービスだ。
例えば、Dropboxをイメージして欲しい。(いいか、あくまで例だぞ。Dropboxは単なる例だからな)
どうやら、どっかの誰かが、俺のメールアドレスを使ってサービスを使っているらしい。俺のメールアドレスは、本名をそのままメアドにしたものだ。自営業の仕事で使ったりしている。
仮に俺の名前を鈴木一郎とすると、ichiro.suzuki@なんとかメール.com みたいなアドレスだ。「なんとかメール」は、有名なメールサービスだ。例えばYahooメールとかGmailみたいな。
さて、もう少し調べてみると、そのABC社のサービスは、メールアドレスの所有確認をしないらしい。メールアドレスの所有確認というのは、アカウント作成時に確認メールが送られてくるアレだ。「○○に申し込みいただきありがとうございます。メールアドレスの確認のため、以下のURLをクリックして下さい・・・」みたいなやつだ。
つまり、どこかの誰か(X氏としよう)が、俺のメールアドレスを勝手に使ってクラウドサービスに申し込み、メールアドレスの所有権の確認がされないままサービスを利用している。
これは迷惑な話だ。一見すると実害は無いように見えるが、俺にとってのリスクはゼロでは無い。クラウド上にファイルを保存できるというサービスの性質上、もしX氏が違法なファイルをアップロードした場合、無関係な俺に危害が及ぶ可能性がある。保存しているだけで違法になるようなデータ、例えば麻薬関係とか児童ポルノとか。
正攻法は、ABCサービスに連絡を取り、該当アカウントを利用停止にして貰うことだ。
しかし、ちょっとここで俺に魔が差す。仮に、「パスワードリセット」をしたらどうなるだろう?パスワードリセットのメールは俺宛に送られてくるわけだから、X氏のパスワードを上書きして、俺が所有権を乗っ取ることができる。さっそくパスワードリセットのリクエストを送ってみる。普通にパスワードリセット完了。パスワードを適当な物に変更し、サイトにアクセス。
X氏が保存したデータや写真を全部見ることができた。どうやらX氏は地方に住む大学生らしい。授業ノートの写し、友達との旅行の写真・・・おや、学生証や保険証の写真、あろうことか彼女とおぼしき女性との行為写真まで保存されているではないか。
30分後、賢者タイムの俺は、そっとサイトを閉じ、ABCサービスにアカウント停止の依頼を送った・・・
-----------------------------
さて、これは不正アクセスに該当するか?
あるいは、不正アクセス以外の、何らかの不法行為になるだろうか?
俺は「他人の識別符号(パスワード・生体認証など)を入力」しただろうか?
あるいは、「管理者の想定している認証機構を回避してアクセス」しただろうか?
メールアドレスは俺のものだ。また、識別符号(パスワード)を取得したわけではない。
サービスによって提供されているリセット機構を使って、俺宛てに送られて来たメールから通常の手段でパスワードリセットをした。
おそらく、焦点は「俺がアクセス権を有しないサービスへアクセスしたか」どうかだろう。
つまり、「俺の名義を不正に使って作られたアカウントへのアクセス権を、俺が有するか」どうかだ。
繰り返すが、以上の話は「こういう夢を見た」という話であって、仮の話、一種の思考実験だぜ。よろしく。
------------------------------
(補足)
県警でサイバー犯罪を担当している人から話を聞いた時のメモが出てきたので下記にまとめる。
メモは2年ほど前のもので、現在の警察の見解とは異なっている可能性がある。
まず一言言わせてもらうと文章が長いっていうことと、あともう1つはお前は昔の俺かっていうことね。
多分だけどズルズルいっちゃうよ。そしてかなりヤバくなってからやっと動き出す。昔の友人みんながすごい先へ行ってしまったと思った頃からだ。そして同時に怠け飽きた頃でもある。テレビゲームやり飽きた頃。
でも動きさえすればどうやっても生きてはいけるからね。そこはあんまり気にすんな。動きさえすれば最低ラインは確保できると思っていい。
そのうえで俺は思う。俺みたいになるなと。俺みたいな奴を一人でも減らしたい。人生の有意義な時間に気づいて欲しい。若い時間を後悔しないように使って欲しい。
でだ、努力を努力だと思ってるうちは億劫になっちゃってやる気は起きないよ。しなければいけないことは習慣化すること。
例えば勉強なら、家ではしない。どこかスタバ的なところとかスーパーの飲食コーナーとか、家じゃないところでやる。学校帰りに寄る。飲み物1杯頼むと、飲み終わるまで席を動けないから、その時間を使って勉強をする。そういう時間を毎日1時間でいいから作る。気が向かないなら30分でもいい。
PC(インターネット)、テレビゲーム、テレビは時間を吸い取る悪魔だから、いかにそれに時間を吸い取られないか考える。たとえばPCなら、「パソコンねむねむ」のようなソフトを利用して例えば夜9時半以降は立ち上がらないようにしたりする。パスワードは他人に設定してもらおう。
そして予備校でも習い事でもサークルでもバイトでもいいから外に出よう。ただしこの中で一番中毒性が高いわりに無駄な時間になってしまうのはバイトだ。金がもらえるというのは快楽で、そこから離れられなくなる。が、バイトでもらえる金というのは「はした金」なのだ。その程度の金で満足してしまうとその程度の金しか稼げない人間になる。気をつけろ。
人間というのはいろんなことがしたい、見たい。色んな人と合いたい。それをバランスよくやる工夫をすることだ。その際、精神力に頼ってはダメだ。人間は弱い。精神力の弱い自分でも強制的にバランスよくなってしまうようなシステムを周囲に組み上げろ。中毒性の高いことというのは世の中にたくさんある。それに時間をとられすぎないことだ。
そうしてるうちに、君は一歩ずつ進んでいると思えるだろう。人生を。
結局、5sの32GBを買いました。ios7のままです。感情的な感想を残しておきます。
店頭では後ろにコードや機械がくっついていてよくわからなかったが、やはり小さい。
あと想像以上に軽い。イメージではもう少し重く、持ったら「落としたらパリーンって割れるんじゃないか」という不安に見舞われるのでは? と危惧していた。しかし、実際持ってみると軽い。
GALAXYのラウンドな感じになれた手には角張って感じられる。でもアルミ仕上げのざらざら感がなかなかいい(Xperiaみたいな背面ガラスだと思ってた)
総合的にいうと、なんか、落としても割れなそうな感じ。(よい子は絶対にまねしてはいけない)
ブラウジングしてると、サファリの特性なのかiPhoneの特性なのか知らんが、スワイプがキュッキュキュッキュしてて好みが分かれると思う。自分はandroidの「勢いよくフリック(スワイプというよりフリック)したらめっちゃ流れる」感じのほうが好きだった。
ピンチ操作の感度はかなり良い。壁紙のサイズ調整をしたがこれandroidなら大きすぎや小さすぎになってムキーなってたと思う。
うんこだと思ってたらくさやだった。使う前は「絶対に無理」と思ってたけど「まあ使えないわけでもないしなあ」と。
カーソルがないのは本当に面倒だし、変換範囲を変えるのに手元でできないのは苦労。(入力だけなら片手でできるが、文字の選択は無理だった)
でも、明らかに別のキーも一緒に押してるのに、目的のキーが押せるのはすごい。なんなのあれ怖い。
戻るボタンがないのは最初戸惑う。そりゃこれ6プラスのサイズだったら困るわ。
指紋認証楽しい! 楽! 小指だけしか登録しない、とかだと、腕ごと切られない限り時間稼ぎできそう。
TouchIDが使えることを読み逃し、DropBOXを入れるまでに5回くらいパスワードを入力する羽目になりイライラ。今は指紋でできるようにしたけど、アプリをダウンロードするたびにやってる気がする。
NoteⅡ=ホームアイコンまみれにもかかわらず、アプリは一覧から起動
というような状況だったので、正直自動で詰めて表示してくれたり、フォルダのタイトルつけてくれるのはとても楽。
前は大してウィジェットとか使ってなかったので、これで充分。
何もしなくても、新着メッセージがロック画面に表示されるのはありがたい。
ただ、ドックやフォルダの背景の透明度は2種類じゃなく微調整できるとよかったなあ。
ライトニングケーブルって、なんで端子根元のぎざぎざついてないんだろう。
みんなこぞってボールペンで補強してるけど、それでも断線しそう。
従兄弟から「プログラミングやりはじめたんだけれど、この問題の答えになるようなのJavaで書いて欲しいんだ」みたいなリクエストがあった。
俺は一応エンジニアで飯を食っているのでよく懐いてくれた。
よくある初心者用の問題だったので、初心者が躓くポイントにコメントをつけてメールで返す。
何度かやり取りが続いた。
たまにコードのダメ出しをして欲しいとかいってくるが、ほとんど俺が書いていた。
俺の勘としては勉強のためというかは宿題の代行をしているみたいな気がしてきた。
なんかどこかに公開してんじゃないか?と思って、
コードのある部分をグーグルで検索してみた結果一つのブログが出てきた。
ブログというよりは、SNSに近いあのサービスなのだが、完全に俺のコードがそのまま公開されていた。
もう完全に本人。
なんかそのブログはいわゆるワナビーたちがいっぱいコメント書いていて
何だが微笑ましいんだけれども
なんかワナビーたちのグループが幾つかあって、そのグループ間でバトルになっていた。(総勢7人もいなかったが)
情弱とかスクリプトキディとかそんな煽り言葉が飛び交い、知識のひけらかしと揚げ足取りの激しい応酬が繰り広げられていた。
IP抜く、IP抜いてそこにトロイを送る、IPで住所を調べる、IPでどこ中かしらべる。
太古の日本で本名を知られたら魂を操られるという信仰くらいIP信仰すごいよ。
Wikipediaとかで知識を仕入れるんだろうね。
「SQLインジェクションでお前のパソコンパスワード抜く」とか、「クロスサイトスクリプティングでクッキー攻撃だ」とか…
そんな中で、従兄弟は自分の成果として俺のコードを出していた。
ヘッダの署名や、冗談でMITライセンスを記載していたがそれまでそのままコピペ。
ここに集まってくる子たちはどんな子なのかと、それぞれのIDをぐぐってみたら
出るわ出るわ。ツブヤキサービスや別のブログサービスのアカウントが…そして学校名も…
不正アクセスなんかしなくても個人情報すぐわかるのに、彼らはバトル中にそれらググれば分かる情報をつかって煽ることは無かった…
まあ、そんなもんか
リアルタイムで生産される黒歴史が見れて兄ちゃんちょっと懐かしい気持ちになったよ。
しばらくすれば飽きてくるだろう。
なんかパスワードの定期変更について効果が薄いとか主張している人たちは、そのポリシーをいまだ掲げている運営側の単なる無知/無理解によってこのポリシーが使い続けられているという前提で一生懸命同じ説明を繰り返しているけど、そんなに馬鹿じゃないよと一応言っておこうかと。
いや別にパスワードの定期変更が有効だとかアホな主張をしたい訳じゃなくて、効果が薄いと知りつつもなおそのポリシーを使い続ける理由があるという視点で考えれば、答えはあっさり出るでしょうよ。
で、パスワードの管理をろくにやってもいないユーザが被った被害をなんで補償せにゃならんのと。
つまり、あんたパスワードの管理もろくにやってなかったんだから、100%補償する義理は無いよね、と言いたい訳ですよ。
ユーザが他のサイトと同じパスワードを使っているかどうかは確認のしようが無い。しらばっくれられたらおしまい。
パスワードの強度なんて計りようが無い。一見複雑そうに見えて単なる名字の母音抜き+車のナンバーだったりするし。
でもユーザがパスワードを長期間変更してない事は簡単に証明できる。裁判に証拠として提出だってできちゃう。
それを根拠にユーザにも落ち度があったと主張したいわけですよ。
示談に持ち込んで、あんたパスワードろくに管理してなかったんだからしょうがないですよね、と言いくるめたい訳ですよ。
効果が薄いかどうかなんて関係ない。とにかくリスク(=補償額)を減らしたい。
某セキュリティソフトだってそう。あんな怪しいソフトをインストールして使おうなんて思う人ふつういないでしょう。そこが狙い目。
ちゃんと対策ソフトを無料で提供してたのにあんたはそれを使いませんでしたよねと。
あわよくば「専門家」が主張している「リスクの少ない」パスワードを使っているユーザであっても補償したくない。
こんなに長期間同じパスワードを使い続けてたんだから、そりゃ解読されますよと。パスワード不一致で一定時間ロックする等の対策はしてたましたよと。
定期変更ポリシーの効果が薄いなんていくら説かれても「ああそう」としか思わない。そんなこたぁ分かってやってるんだよと。
あと、ぶっちゃけ、あれは駄目、これも駄目としか言わない「専門家」にもうんざりしているわけですよ。
文句を付けるんだったら効果があってなおかつ運営側にもメリットのあるポリシーを提案してみろって思ってる訳ですよ。
知ってます。どうせ「我々が議論しているのはあくまでそのポリシーの実効性についてであって、運営側の事情なんて知ったこっちゃない」って言うんでしょう。
だったらどっかよそでその議論だけしてろ。構わんでくれ。と。
ユーザの皆さんはこれまで通り「複雑な」パスワードを変更せずに使い続けて下さい。その方が助かりますのでwww
てか、一部の人たちは気付いているのに避けてるよね。まあいいけど。
とかだったら嫌だな。