予想されていましたが、ファイヤウォールを強化できないものでしょうか。
リアルタイムモニタもしてないのでしょうか。悪い予感が的中です。
せっかく警告まで出していたのですが。
6月10日に掲載、1週間程度で削除されました。
6月24日のマイページ。とにかく報告の字が小さい!右のピグアバターが巨人に見えます。
報告を見るとおよそ4万件近くの被害が出ています。
辞書攻撃ですね。(ワードによるアタック)
被害にあわれた方は気の毒です。
追加06.25
もちろん前兆はありました。巨大広告が画面の半分を覆い、ブログが書けないというもの。もちろん事務局に報告しました。返事の返ってこない意見を送りました。もう1つは返事の返ってくる問い合わせを送りました。バグなのかハッキングなのか教えてくれと。6月上旬だったと思います。その後、再度巨大広告に遭遇しました。結果、回答は無く今回の事件となりました。何かを試していたのかもしれません。本当にバグだったのかもしれません。回答が無いのが残念です。
皆さん、気を取り直しましょう。
パスワードの設定を強化するしかありません!
アメブロパスワードの作り方!
1.相手の能力を知りましょう
今回の手法は「キーワード攻撃(勝手に名付けています)」です。
キーワードを当てて、実効ケタ数を減らすわけです。
訂正:07.11
リストにされたID,パスワードを試す攻撃です。それで約4万件も乗っ取られたのです。
アルファベット大文字、小文字+数字で作ります。
大文字26文字+小文字26文字+数字10文字=62文字
簡単にするため64文字とします。2の6乗文字です。
10ケタパスワードが6時間で突破されます。(私のFacebook)
相手はスーパーコンピュータです。人間の常識は通じません。
2.パスワードのケタと計算回数
結論と式だけ簡潔に書きます。
8ケタパスワードは?
3年だが安心はできないレベル
16ケタパスワードは?
特殊文字(記号16文字とする)を使うと35倍伸びます。
なんとスーパーコンピュータでも17億年かかるんです!
3.パスワードの作り方キーワードを当てて、実効ケタ数を減らすわけです。
訂正:07.11
リストにされたID,パスワードを試す攻撃です。それで約4万件も乗っ取られたのです。
アルファベット大文字、小文字+数字で作ります。
大文字26文字+小文字26文字+数字10文字=62文字
簡単にするため64文字とします。2の6乗文字です。
10ケタパスワードが6時間で突破されます。(私のFacebook)
2の6乗の10乗で 2の60乗の組み合わせが6時間のコンピュータの処理能力です。
したがってその4倍が24時間の処理能力です。
したがってその4倍が24時間の処理能力です。
1日に2の62乗の計算能力とします。
補足07.11
さらに仕掛けがあります。FBのウォールに無線LANが使えなくする何かを仕込みます。
突如無線LANが使えなくなったので、買ったばかりのMacで対応です。
すぐにpasswordを変更しました。夜中にですよ。午前6時に、なりすましが発生です。
またパスワード変更です。長ーいものに変更です。とにかくやられました!皆さんは再インストール中にやりたい放題されます。Win,Mac体制になっていたのが幸運でした。
これは
補足07.11
さらに仕掛けがあります。FBのウォールに無線LANが使えなくする何かを仕込みます。
突如無線LANが使えなくなったので、買ったばかりのMacで対応です。
すぐにpasswordを変更しました。夜中にですよ。午前6時に、なりすましが発生です。
またパスワード変更です。長ーいものに変更です。とにかくやられました!皆さんは再インストール中にやりたい放題されます。Win,Mac体制になっていたのが幸運でした。
これは
2の62乗が24時間(約8万秒)ですから、1秒で60兆回の計算が必要です。
100台のクラスタなら1台あたり6千億回の計算です。
どのようなアルゴリズムやハードウェアかは分かりませんが、
会社全体のPC1000台を使えば1台あたり600億回、ありえない数字ではありません。
言わば「スーパーコンピュータ」です。
Intel i7がおよそ150000MIPSです。1秒で1500億回の計算ができます。
100台のクラスタなら1台あたり6千億回の計算です。
どのようなアルゴリズムやハードウェアかは分かりませんが、
会社全体のPC1000台を使えば1台あたり600億回、ありえない数字ではありません。
言わば「スーパーコンピュータ」です。
Intel i7がおよそ150000MIPSです。1秒で1500億回の計算ができます。
ワードアタックなので100台くらいか?大きく見積もっておきます。
とにかく個人ではなく、組織ぐるみを考えましょう。
とにかく個人ではなく、組織ぐるみを考えましょう。
相手はスーパーコンピュータです。人間の常識は通じません。
2.パスワードのケタと計算回数
結論と式だけ簡潔に書きます。
8ケタパスワードは?
2の6乗文字の8乗は 2の48乗とおりの組み合わせです。
2の48乗 割る 2の62乗 = 2のマイナス14乗日
1日に2の62乗の計算をするコンピュータは瞬時に解析します。
1万6千分の1日
10ケタパスワードは?
2の6乗文字の10乗は 2の60乗
2の60乗 割る 2の62乗 = 2のマイナス2乗 =1/4日
6時間です。
12ケタパスワードは?
2の6乗文字の12乗は 2の72乗
2の72乗 割る 2の62乗 = 2の10乗
2の10乗日かかります。2x2x2x2x2x2x2x2x2x2日です。これはおよそ1000日です。3年です。
【今回の手法】
【今回の手法】
今回のようにワードが○○○○と4個入っていれば、のこり8ケタパスワードです。8ケタより少しマシくらい?
○○○○は例えば"star","kamo","matu","kuma"など。
○○○○は例えば"star","kamo","matu","kuma"など。
3年だが安心はできないレベル
16ケタパスワードは?
2の6乗の16乗は 2の96乗
2の96乗 割る 2の62乗 = 2の34乗日です。
2の34乗=2の32乗*4=2の16乗*2の16乗*4です。
2の34乗=2の32乗*4=2の16乗*2の16乗*4です。
2の16乗が約64000です。
ざっくり
ざっくり
6万4千*6万4千*4 = 64*1000*64*1000*4日 = 160億日 ニアリイコール 5000万年
安心です!なんと16文字でスーパーコンピュータは解析できないのです。
特殊文字(記号16文字とする)を使うと35倍伸びます。
なんとスーパーコンピュータでも17億年かかるんです!
前提:無意味な大文字、小文字、数字の組み合わせです。意味があれば今回のように辞書で突破です。
先週のブログに書きました。
もし自分がハッキングするなら、キーワードアタック、連続文字かな?
キーワード:xxxkumaxxxxxx なんらかのキーワードがある。
連続文字 :xxx888xxxxxxx 連続文字を決めて実ケタ数を下げる。
本題です。
キーワードや連続文字はNGです。
アメブロは12ケタで特殊文字(記号)が使えません。セキュリティ部門の意識が低い!
わざわざハッキングされやすい設定なのです。
パスワードを憶えているあなたです!格好の餌食なのです!
人間が憶えられるものはNGです。
何らかのキーワードが入っていてもNG。
自分もメモ帳を見ないとわかりません!!
何らかのキーワードが入っていてもNG。
自分もメモ帳を見ないとわかりません!!
キーボード連打法(私のオリジナルかな?)
子どもにやらせてもよいでしょう。キーボード叩きまくりです。
ランダムに連打します。こんな感じです。
347294t7ghn3diuef3uiwe7flo33u9@ 9@rhwe
適当に16ケタ選択です。
3diuef3uiwe7flo3
かなり3がダブっています。変えます。
2diuef6uiwe7flo3
u,i,e,fがダブります。変更です。
2dikef6upwa7zbo3
適当に大文字に変えます。
2diKeF6UpWa7zBo3
特殊文字を入れます。1つで良いです。(用心深い人は数文字入れて下さい)
2diKeF6UpWa7zB@3
追加06.25
できたパスワードをにらみます。偶然にできたワードはないか?
Upが気になります。では変えておきましょう。
2diKeF6U$Wa7zB@3
追加06.25
できたパスワードをにらみます。偶然にできたワードはないか?
Upが気になります。では変えておきましょう。
2diKeF6U$Wa7zB@3
完成しました。みなさんのパスワードは17億年解読にかかります(作成は数分)。
ムーアの法則で9年後はコンピュータは8倍(失礼しました)64倍速くなります。解読は2600万年になります。
最後は紙に書いて保管します。たったこの手間だけです。
スーパーコンピュータがはじけるのですから、手間を省かないことが重要です。
相手はスパコンなのです。
スーパーコンピュータがはじけるのですから、手間を省かないことが重要です。
相手はスパコンなのです。
どうです?簡単でしょ?拍子抜けですね。
アメブロは12ケタです。12ケタランダムで同じことをします。
特殊文字が使えませんから3年ほど耐えます。
半年や1年ごとに更新です。できたら頻繁に更新です。
皆さん、スパコンを撃退しましょう。
一番は16ケタ入力ができること。特殊文字が入力できること。
心配な方は17ケタにすると1400億年です。宇宙年齢を超えます。(やっと宇宙ネタです)
まとめ
短いパスワード、ワードのあるパスワードを作った皆さんが悪い(私も含め)ですが、注意を促したり、12ケタ特殊文字無しパスワードしか入力できない、侵入されるファイヤーウォール。IDS(こんな名前だった気がします。異常検知器です)未設置か。リアルタイムモニタの前で寝ている?などの人災面もありそうです。情報は絶対出てきませんが。
勉強する良い機会になりました!(災いもって福となす)
アメブロは12ケタです。12ケタランダムで同じことをします。
特殊文字が使えませんから3年ほど耐えます。
半年や1年ごとに更新です。できたら頻繁に更新です。
皆さん、スパコンを撃退しましょう。
一番は16ケタ入力ができること。特殊文字が入力できること。
心配な方は17ケタにすると1400億年です。宇宙年齢を超えます。(やっと宇宙ネタです)
まとめ
短いパスワード、ワードのあるパスワードを作った皆さんが悪い(私も含め)ですが、注意を促したり、12ケタ特殊文字無しパスワードしか入力できない、侵入されるファイヤーウォール。IDS(こんな名前だった気がします。異常検知器です)未設置か。リアルタイムモニタの前で寝ている?などの人災面もありそうです。情報は絶対出てきませんが。
勉強する良い機会になりました!(災いもって福となす)