はてなキーワード: パスワードとは
俺は好きなプロ野球選手の名字+その選手の背番号の上下反転+下の名前にしてる。
プロ野球選手の名前は利用するサービスの名前の頭文字によって決まる。
例えばNetflixならNから始まるのでatsushi41nohmiになるし、
Steamならhayato60sakamotoだ。
難点はパスワードに使った選手がわけわからん不祥事を起こしてクビになった場合、ログインのたびに思い出して腹が立つことかな。
ワイは推しの名前とパスワード作った日にちを合わせてパスワードつくってる
(推し1のイニシャル)(推し3のイニシャル)(日にちはそのまま書く)
を書いてる
だから例えば推し1が田中、推し2が伊藤、推し3が大石だったら、
パスワード:TanakaOhishi24
メモ:TO24
って感じ
毎年のように「ダメなパスワードランキング」とか、流出したパスワードでアカウント乗っ取られてヒドイ目に...とか話題になっていて、同一パスワードを使い回すのはもってのほか!パスワード管理ツール/アプリを使おう!みたいなことよく言われてるけど、そのツールのデータがどっかから流出/ハッキングされて暗号破られたりするとスゴイ嫌じゃん。攻撃者だって、そういうツールがインストールされてるってことは、そこにあるのが分かるんだから狙って来やすいじゃん。
紙に書いたりしてどっか保管しとくのもダサい。
ということで、
自分の名前とか、住所とか、飼ってる犬の名前とかをモジって、適度な長さの辞書に無いコトバを決める。辞書に載ってるか否かで、強度がそんなに変わるのかは定かでないが、まぁ気休めとしてw
太郎なら tarosanとか、品川ならshinagとか、花子ならhanachoとか適当に。
これは、毎度入力を求められるたびにタイプすることになるので、まぁまぁ変な文字列でも忘れない。心の中にだけしまっておいて、どこにも記録は残さない。
アカウント登録や、サイトによっては半年に一度くらい「パスワード変更しろ」とか言われて更新するときの日付をyymmdd形式とか、より安全に年を4桁とってyyyymmddとかにしてくっつける。
hanacho220524 みたいな感じだ。
同じ日に複数サイトのアカウント作る時がもしあったら、別に正確な日付が欲しいわけじゃ無いから、昨日の日付でも、1ヶ月先の日付でも構わないから違うモノにしろ。
そういうめんどくさいルールがあるサイトの場合は、先頭だけ大文字にするとか、末尾にハイフン’ー’付けるとか、自分なりのルールを決める。このルールも心の中だけにしまっておく。
PCでもスマホでも各自使いやすいカレンダーアプリが1つや2つインストールしてあるだろ。上の例で言えば、2022年5月24日のカレンダーイベントとして、たとえば「ますだ」みたいなWebサービスやサイトの名称から容易に思いつく検索しやすいタイトルで、イベントを書き込む。
アレンジが必要なサイトだったら、「大文字」とか「記号」とかをイベントの内容だか注釈だかのところに書いておく。
こうしておけば、あちこちのサイトでログインが必要になった時点で、カレンダーアプリを「ますだ」とかで検索すると、イベントの日付が分かるので、心の中にだけ持っている語幹と合わせてパスワード欄に入力すればオッケーってわけだ。
これなら、カレンダーアプリのデータが盗まれて、めっちゃ強力な暗号解析ソフトとかでハックしまくられても、パスワードがバレることは無いと思うw
Enjoy!
中国不動産大手の社員がデータベースを消去し懲役7年の判決 原因は上司との口論?
中国の不動産仲介大手Lianjiaの元データベース管理者・ハン・ビンが、同社のデータを削除したとして7年間の禁固刑を言い渡された。
2018年6月、ビンは管理者権限とルートアカウントを使って同社の財務システムにアクセスし、データベースサーバー2台とアプリケーションサーバー2台に保存されたデータをすべて削除した。結果、Lianjia社の業務の大部分に支障をきたし、数万人の従業員は長期間給与を受け取ることができず、同社は約3万ドルの費用をかけたデータ復旧作業を余儀なくされた。
市場価値が60億ドルと推定されるLianjiaは数千のオフィスを運営し、12万人以上のブローカーを雇用し、51の子会社を所有するため、同社の事業の中断は莫大な間接的な損害ももたらした。
北京市海淀区人民検察院が発表した資料によると、ビンは単独犯ではなく、主要な容疑者5人のうちの1人だ。ビンは、会社の調査員にノートパソコンのパスワードを教えることを拒否したため、すぐに疑われた。「ハン・ビンは、自分のコンピュータには個人データがあり、パスワードは公的機関にしか提供できないと主張した」と、中国メディアが詳述している。なお、データを削除する操作の痕跡はノートパソコンに残らないことを調査員は把握しており、ただ反応を見るためだけに5人の従業員にアプローチしていた。
その後、調査員はサーバーのアクセスログ、IP、Wi-Fi接続のログとタイムスタンプを割り出し、最終的にはCCTVの映像と関連付けることで容疑者を特定した。
ビンは過去に金融システムのセキュリティに問題があると、雇用主や上司に何度も報告し、他の管理者にもメールを送って懸念を共有していた。しかし、ビンが提案したセキュリティ対策のプロジェクトは承認されず、彼の提案は無視されてしまった。同社の倫理部門のリーダーは裁判での証言として、ビンは自分の提案が評価されていないと感じ、しばしば上司と口論になったと語っている。
過去に同様の事例として、2021年9月にニューヨークの元信用金庫職員が、自分を解雇した上司に復讐するために、21.3GB以上の文書を削除した事件があった。
セキュリティ対策と従業員の心のケアは、怠ると取り返しのつかない事態になるようだ。https://news.yahoo.co.jp/articles/8734aefaf0c66696080ca822444f1c095860285a
ある同人界隈のトレパク冤罪騒動や、青識亜論のツイフェミなりすまし騒動が話題になってて、数年前にあった事件を思い出したので簡単に経緯をまとめてみる。ただ、当時の記憶が曖昧で、当時の関係ツイートや記述が消えて分からなくなってる部分もあるので、細かいところは間違ってるかもしれない。
①あるマイナーなジャンルにX(仮称)という絵師がいてpixivとかpixiv fanboxに絵を上げていたんだけど、実際のところXの絵はあまり上手くなかったので元からアンチも結構いた。で、Xのpixiv fanboxの有料プランでは「○○日に1回の頻度で新しい絵を上げます」みたいな説明だったのに、全然約束通りに更新されなかったので「他人から金貰っといてそれはないんじゃないの?」みたいな批判が上がった。
②その批判を受けてXは「pixiv fanboxの更新頻度を1ヶ月に1回に変えます」とTwitterなどで表明。だが、Xのアンチの一人だったY(仮称)はその説明に納得できず、「当初の約束を守れないのなら今の有料プランを廃止して、新しい有料プランを作るべき」と厳しく問い詰めた。
③XはTwitterでのYとのやり取りをスクショし、第三者と偽って5chに上げ、いっしょにYを批判するコメントを書いた。しかし、スクショの中にあるXのツイートにツイートアクティビティのボタンが付いていたことから、これがXの自作自演だとバレた。これを受けてYはXへの攻撃をますます加速させた。
④Xはtwitterの別アカウントを使って「Xを潰しませんか」的な内容のDMをYに送ろうとして、間違えてX本人のアカウントからDMを送ってしまう。※こんなことした理由がよく分からないけど、おそらく、Xのアンチだと偽ってYと連絡先を交換、Yの個人情報や弱みを握る、そうすることで自身への攻撃を止めさせようと考えての行動だと思う。
⑤YはXに対して「このDMは何か?」と質問を送る。さらに、DMのやり取りをTwitterで公開しだす。
⑥Xは別アカウントのアイコンと名前をYとそっくりに変更した偽アカウントを作り、XとYのDM画面を偽装し、Yを陥れようとする。※おそらく、「そんなDM知らない。Yが嘘をついている」みたいな嘘告発をするための行動。
⑦結局、その偽装工作も全部バレる。(偽アカウントの過去ツイートや、パスワードリセット画面に表示される携帯電話の末尾の数字などから、Xと偽アカウントが同一人物だと分かった。)
⑧Xが一連の工作を認め、pixiv fanboxとtwitterで謝罪。
…というのが一連の流れだった。pixiv fanboxの更新が滞ったことはまあ仕方ないとしても、
・別人を装って5chで自演
・別人を装ってYにDMを送る
・Yの偽アカウントを作ってYを貶めようとする
という時点で完全に3アウトチェンジなんだが、何故か同ジャンルの関係者の間では、Xが謝罪したことで許された感がある。おそらくYが前々から攻撃的な言葉でXを批判してたってのもあり、Xに対して同情的な空気がある。けど、常識的に考えれば、Xのやってる事が酷すぎて全く擁護する気にならないのだが。
結局、Xは今でも何事もなかったかのようにTwitterをやっていて、今もpixiv fanboxで有料プランもやってる。
つまり、IDとパスワードを知っている乗っ取りたいアカウントの持ち主を病ませてアカウントを削除させて、
その後にしれっとIDとパスワードを入力すれば2段階認証も無しにログイン出来てメールアドレスも2段階認証も書き換えられるってことでしゅね!
自分のTwitterアカウントにIDとパスワードを入力してアカウントを操作する→自分のTwitterアカウントを消す→もう一度Twitterを復活させる→2段階認証を別の携帯電話で行う→メールアドレス等を書き換える
が出来るってこと?
検証用に作ってあったTwitterアカウントを削除したのだが
・セキュリティトークン(YubiKey)の二段階認証
・アプリの時間式ワンタイムパスワードの二段階認証
を、設定してあった。
さて、このアカウントを削除すると
ってメールが来る。
まさかなぁ・・・と思ってIDとパスワードでログインしたら「アカウント削除処理したけど復活させるか?」って出てくるのよ
で、アカウント復活させるとDMとかツイートとか全部見えるの。
勿論「二段階認証は解除されてる」
いや、Twitterくんお前マジでなんでこういう実装した!?
=========================
分かってくれてる人もいるけど、一応補足しておくと二段階認証を設定されているアカウントで、削除の操作を行った時点で二段階認証の設定が削除。
そのため、IDとパスワードでログインすれば乗っ取れるし二段階認証をかけて奪える。
ただ、この操作をやると「Twitterアカウントを復活しました」のメールは来るので乗っ取られたら気付くことは可能ではある
=========================
どうすりゃいいのかかけよ!っていうけどTwitterくんが二段階認証情報を削除するのを
アカウント削除と同じ30日後にすりゃいいだけでしょ