ji32k7au4a83というパスワードを使う人が続出
■ このスレッドは過去ログ倉庫に格納されています
ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。
しかし、エンジニアの Robert Ou氏は「 ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。
Ou氏は「ji32k7au4a83」という文字列について、パスワードの漏えいをチェックするサイト「 Have I Been Pwned: Pwned Passwords(HIBP)」で流出回数をチェックしてみたとのこと。
HIBPはMicrosoftのエンジニアである トロイ・ハント氏によって作成されたサービスであり、過去に発生した個人情報流出事件において自分のパスワードが流出したのかどうかを、
誰もが無料で簡単にチェックできるサービスとなっています。
実際にHIBPで「ji32k7au4a83」の流出回数をチェックしてみると、驚いたことに記事作成時点でなんと141回もの漏えい履歴がヒットしました。
この回数からすると、少なくとも同じ「ji32k7au4a83」というパスワードをさまざまなサービスで使用した複数の人々がおり、そのパスワードが何らかの事件に巻き込まれて流出したと考えられます。
また、多くの人はパスワード流出に巻き込まれることがないことを考えると、さらに多くのユーザーが「ji32k7au4a83」というパスワードを使用していると推測できます。
いったいなぜランダムな英数字の並びに見える「ji32k7au4a83」というパスワードが頻繁に使われているのか、Ou氏はTwitter上で問題として出題しました。
その結果、Twitterのフォロワーからは見事に正しい答えが寄せられたそうです。
実は「ji32k7au4a83」という文字列は、中国語の発音記号の一つである「 注音符号」からきたものだそうです。
注音符号は古代の 篆書などから字形の簡単なものを取って表音文字として使う方式で、1文字から3文字で声調を除く中国語の1音節を表すことができます。
拼音(ピンイン)による表記が一般的な中国ではほとんど使われていないものの、台湾では現役で使われているとのこと。
イカソ
https://gigazine.net/news/20190305-why-ji32k7au4a83-common-password/ 俺のパスワードはいつも
passwovdか
passworbだな 俺のもネトゲで使ってるのはメールもパスワードも漏れたなあ
ネクソンってとこなんだけど > つまり、台湾のユーザーに「ji32k7au4a83」というパスワードを使っているパターンが多いのは、英語話者が「mypassword」をパスワードに設定するのと同じ理由といえます。
馬鹿じゃん なんでも感でもネットで管理しようというのは怖いんだよな
アナログな部分も残しといてほしい なるほどランダム文字列に見えて全くランダムじゃなくログインIDにadmin使うようなものって事か 数字記号大文字混ぜても安全性は大して変わらんらしいな 定期的にパスワード変えるのもほとんど意味もないからな
むしろ管理するパスワードが増えて漏洩リスクが高まる 東芝の開発者がパスワードにTOSHIBAとか設定するくらいにバカ クソ長いパスワード暗記してそれずっと使い回してるわ 大文字
小文字
数字
サイトによるが基本はこの3つを組み合わせてるわ ヤフーBBに入った時の ユーザーIDかなんかのめちゃくちゃな英数字の羅列
変更する事なくいちいち入力して入ってたから覚えてしまった ワイのパスワード18文字もあるからまず解けへんやろと思ってる >>1
ん? 前置き長いわりに答えさらっとでようわからん もうちょっと詳しく 複数のサイトで一人の人間が使ってたとかじゃないの? パスワードは20個ぐらいのサービスで使い回してるけどまだ流出した形跡がないんだが実際にはもうしてるのか?
変えたら覚えられないし。 !"#$%&'()=~|
Shift押しながらの1〜のやつ、この辺使えるなら使ってる 長いパス使いたいのに10文字以下しか受け付けないサイトはマジウンコ >>7
嘘。
その長さなら、数字が必要になるはず。 量子コンピュータ実用化したら、どんなパスワードでも簡単に割られちゃうんだろ
もう残るは生体認証しかないじゃん いくら長いパスワードにしても使い回ししてたら意味がない
セキュリティゆるいサイトから流出したら後は芋づる式にやられる 私のパスワード、か
ミイソとかトントカイモみたいなもんだな 数字やちょっと特殊な奴までは許せるいいけど
アルファベットの小文字、大文字まで区別するのや
小文字と大文字を両方使えはめっちゃうぜえ
スマホはまだ簡単に使い分けられるけど
パソコンだと、めんどうくさすぎる
他のところで打ち込んで変換機能で大文字を出して
コピペするのが一番楽という 最近のパスワードは、8桁以上、英大文字、英小文字、数字を使うこと
記号を必須とされると面倒 人間が割り出してないならもはやパスワードにワード的意味があるなしなど関係なくない?二進法の組み合わせ無限に試せばいいだけだし。 B-CAS解読されたのはパスワードがTOSHIBAだったんだっけ?
逆に解読されないと思ったんだろう HIBPとか逆に正しいパス収集してるんじゃないかと思って使えない 写真をパスワードにする技術があると聞いたが
あれはどうなった? ꧁ pͪ oͣ nͬ pͣ o ͥ nͭ pͣ a͡ i nͥ ꧂ 最近はグーグルのパスワード自動生成使ってるわ
数字入れろとか記号入れろとか制限あって
管理面倒くさいし分からなかったら問い合わせすればいいし 何かのスマホゲームのログインidをそのまま使ってる。 初めて買ったバイクと車のナンバー+??任意の位置に英単語??だわ
それでも1回不正ログインくらってビックリした mariokasu69
職場のオナペットの女。いつも考えてるから絶対忘れない >>1
パスワード漏洩検索サイトってパスワードを集めるのに最適だってことがわかった マイナンバーカードのパスワード
忘れてないけど2つのうちどちらか判らず
毎年確定申告でロックがかかり役所へ行く
毎年だよ毎年 IDとパスワードだけで面倒臭いのに
スマホに数字送られてきて認証しろとか言うのがウザい
ログイン許可したけどいいよな?みたいな確認メールまで来るし
OBAFGKM パスワードの文字数上限が小さいシステムはクソ
保管時にハッシュ化してないってことだからな くぇrちゅいおp@「45あsdfghjkl;:」412q234567890−^7qwertyujkl;zxcvbnm,.\ >自分のパスワードが流出したのかどうかを誰もが無料で簡単に調べられるサイト
閃いた >>114
ログインしたGoogleのブラウザから、自分のパスワード入力して確かめるとか
ヤバすぎわろす >>10
俺もニフティでパソ通時代から使ってるパスワードが漏れたよ
ある日、自分の名前でHDDの中身を消されたくなかったらビットコイン振り込めって怪しい日本語のメールが届いた
実害は無いと分かっても気味が悪いから長年使ってたパスワード変えたよ そもそもロバート氏は何故他人のパスワードそんなに知ってるんだよ >>35
ワンパンマンだぞww
まぁ、俺も高3のおっさんだが・・・ pasuwa-dowonyuuryokusitekudasai どっかのスレで、数桁の固定数値+サイトの頭文字数文字ってのを見かけて頭いいなと思った
数桁の固定数値さえ覚えておけば、あとはサイトの頭文字入れればログインできるし、各サイトで別々のパスワードにもなる ヤフーIDハックされた事あるわw
アクセス元はシナだった どうせ記事を引用するなら後半部分の方がいいんじゃないか >>65
それはサイトのパスワードポリシーしだい。 >>128
Yahoo! JapanのID認証って最近になって無茶苦茶厳しくなってる
もっと前からやっておけと言いたいわ >>31
俺が悪い奴ならおまいさんは3回目くらいで突破されるぞw 無駄に解読しようとしてたわw
ジサツかなあうしあさみ 俺っちのパスワードは昔からとある会社の電話番号
絶対誰にも分からない >>4 漢字変換でパスワード受け付ければ良いのにとは以前から思ってたが。なんで英数字限定何だろうw SonyのPSNで漏れてパス使いまわしてたBFのバトルログが乗っ取られた哀しみ 日本でもzeroitinisanとか誕生日をアルファベット打ちにしてるのはある
英語圏に対して強いな 俺みたいにクールにパーフェクトにpassworld使ってる奴もいそうだな なんか意味のある文字列は当てられそうで怖い
俺は出身中学の逆読みを一分数字にして使ってるわ
池袋中学校→rokubuke1みたいな 最初に買ったPCに付いてたOSのプロダクトキーだわ
長いけどパソコンにシール貼ってあるから便利だった >>1
それ大文字が無いから使えない(´・ω・`) 俺はsasiharagerobusuで通してる
わかりやすいし 名前と年号や日付の組み合わせを総当たりでチェックしたら、かなり引っかかりそうな気がする。
yamada1977とかyoshio0825とか ばれやすいのダメとか使いまわすなとか無理
ブラウザに覚えさせるのも危険そうだし、正解はアナログなメモなのか 未だに総当たり攻撃が高速に無限に出来るって
前提で語ってるのが納得いかない
よくユーザーのパスワードの長さのせいにしてるけど
辞書アタックが出来るほどのリトライを許してる時点で
すでにセキュリティは落ちてるよ >>157
トップクラスに不味いのがアナログメモですよ
犯罪件数も凄まじく多い 会社の上司がパスワード入力専用にキートップを組み替えたキーボードを使ってる >>76
capsキーの使い方が、初心者にはハードル高いのと
今の状態が大文字か小文字確かめるのに
ちょっと面倒だし…IMEの状態を見るのも
実際に打って確かめるのも… 今時記号お断りのとことかあるけどあれ直してくんねえかな? >>70
網膜やら指紋のデータを128〜256文字くらいのパスワードに変換するのが生体認証だよ。
量子コンピュータが言われるほど素晴らしいものなら、生体認証でも破れる。 >>163
capsキー邪魔だから外してるなあ
シフトキー使えばそれですむし パスワードの漏洩をチェックするサイトからパスワード漏れないか不安 一見無意味な英数字の羅列が台湾語で意味を持つのか、こりゃ面白い >>137
数字のみのパスなんて数分で解読されちゃうな サービス名+特定の数字にしてるけど1個バレたら推測できるから変えようか悩んでる
アマゾンならaz123456
楽天ならrt123456
ヤフーならyh123456 定期的にパスワード変えろとかウザいよなぁ
仕方ないから前のパスワードに戻してみたら
使えませんとか qwertyuiop
asdfghjkl
zxcvbnm 俺JCとやった回数にしてるわ
0000000000000000 サービス名+特定文字列とか年号とか
みんなと似たような付け方してるわ
さすが同じ生き物だな IBMで作業してた頃は、社内ネットワークのパスワード設定条件が厳しくて難儀した。
隣り合うキーを使ったら駄目だとか、同じ文字を2回以上使用しては駄目だとか…
そんな難解なパスワードも、社内で配布されてるツールを使えば
簡単に自動生成してくれるという…
あれが漏れたら偉いことになるねw >>2
中国語の諺かなんかでそれの語呂合せで多く使われていたって事じゃね? yuuteimiyaoukimukoupepepepepepepepe >>1
いわゆる文字コードですねw
漢字を文字コードに変換するソフトが出回ってますので
自分の本名を文字コード化するとどんな複雑でも
いつでも変換できますw
いくつかの種類があって推測できる
パターンも存在しますので注意が必要ですがw 日本でも「パスワード」をbase64で符号化してパスワードにしてるやついそう 糞メールが山のように来て何回対策しても暫くするとまた来だして
往生していたが
ようやくそれらしい漏洩先が分かって来た
薬輸入代行の『オオサカ堂』だな、ぜったいにココしか考えられない
当然に、ログインパスワードも漏れてる訳ですわ………中国人に ガラケー使ってた時は氏名を数字と英字で打ってた。
きむらたくや 227779gct >>89
HIBPでは流出したパスのハッシュリストも配布してる
HIBPが信じられない人はこれをDLして自分でパスワードのハッシュ値調べて照合できるようになってるよ なんか見覚えあるからなんかのパスワードで使ってるわ 基本的に「桁数」さえ多ければ比較的安全なのと、複数言語を混ぜると良い。
例えば、
「1989年生まれの鈴木さん」
がパスワードを
「suzuki1989」
などにしたら非常に危険だけど、
鈴木を直訳した"bellwood"を付加して
「bellwood1989suzuki」
とすれば比較的マシになる。
これをベースに変則的に大文字や数字と置き換えると安全性が高まる。
「bEllw00d198qsuZUki」
くらいにすれば、
鈴木さん本人には覚えやすい割りに相当安全になる。 大文字小文字数字を必ず混ぜてパスワードを作れというサイトで使いまわしてるパスワードがあるけど、
さらに記号も使えというサイトがあったり、記号は使っちゃダメというサイトがあったりするので、完全に使いまわせなくてもやもやする >>207
使いまわす部分+メモして保管する部分
使いまわす部分は頭の中に大事にしまっておけば
物理的には盗まれないよw >>202
細かい話だが
鈴木の木はwoodではなくtreeではなかろうか? >>202
最近はこの手のアルファベットの置き換えを考慮して辞書攻撃や総当たりをかけるんでほとんど意味ないよ
これは10年前のパスワードテクニックなので真似しない方が良い パスワード確認ボックスには設定時のしばりを書いておいてほしい
何文字以上とか大文字記号いれろとか >>7
俺と一緒 ただ俺と違うのはサイトの名前を前につけること >>210
例示したものでも「日本人名」「英単語」「数字」が混ざっていて桁数が多め
なので、今でも割と安全だと思うぞ。
bellとwoodと1989とsuzukiが同時に組み合わさるパターンを「辞書」で探ろう
としても「完全に総当たり」するのと大差無い。 >>138
SJISとかUTF8とかの問題やら
海外行って日本語変換に対応してないとか
いろいろ問題はあらぁね orenosyokugyouhamusyokudesu 64天安門事件(中国読み)はチャンコロ避けにならないかな? 人間側のインターフェースでは意味があろうがなかろうが機械側の認識はたんなるオンオフの二進法でね? パスフレーズ作って語呂合わせで数字入れてわざと一部の単語を意味の通らないものにする
これで完璧 7ケタの総当りが約780億通りというのはケタ数を知ってる場合で0から総当りすると
実に約3.77*10の43乗通りもある。これは1兆の3乗の3千770億倍で1秒に1兆通り
解析するとしても何兆年かかるかわからない。 >>229 間違えた。掛ける必要がないから、せいぜい数千億通りだ。
当用漢字だと2100文字として4ケタで19兆超えるからなかなかのもんだわ。 会社のパスワードは数字だけだから19199930だわ 漢字とひらがなとカタカナと英数字の大文字小文字を、全て使用できたらそこそこ安全性高いよね Passw0rd
で8文字以上、大文字小文字数字入り 俺の基本パスワードはunkotinkomanko666 昨今、パスワード管理をChromeに投げがちなのでアレに穴があると一気に逝く >>247
iOSのキーチェーンは脆弱性発見されてなかったっけ ■ このスレッドは過去ログ倉庫に格納されています