June 19, 2007
パス抜きツール
「ねえねえ、ネクソンパスをnexonに変えるツールってのが存在するんだってさ。
パス抜きの原因ってコレじゃね?(゚Д゚)」
えっ、おねえちゃん。まだ引っ張ってるですかそのネタ(´∀`;)
しかも微妙に情報遅ッ!
「まだとか言う!? 遅ッとか言う!? そういうこと言う!?(#゚Д゚)」
だってもういい加減旬過ぎましたというのに……
ああ、いえいえ、分かりますよ。
犯罪の記憶が薄らいでいくのはいけないですねそうですね。
「うわー、何そのやる気のない言い方」
やだなー。やる気満々ですよ。
ふぁー。ほらあくびもみなぎるやる気に耐え切れず出てくるくらいです。
「おま……(#゚Д゚)」
まあ冗談はおいといて(´∀`*)
パス抜きの原因ってコレじゃね?(゚Д゚)」
えっ、おねえちゃん。まだ引っ張ってるですかそのネタ(´∀`;)
しかも微妙に情報遅ッ!
「まだとか言う!? 遅ッとか言う!? そういうこと言う!?(#゚Д゚)」
だってもういい加減旬過ぎましたというのに……
ああ、いえいえ、分かりますよ。
犯罪の記憶が薄らいでいくのはいけないですねそうですね。
「うわー、何そのやる気のない言い方」
やだなー。やる気満々ですよ。
ふぁー。ほらあくびもみなぎるやる気に耐え切れず出てくるくらいです。
「おま……(#゚Д゚)」
まあ冗談はおいといて(´∀`*)
えーと、この情報のソースは?
君のとなり 様
……ふむふむ。当人からの伝聞ですか。
ランカー様のご友人同士なら嘘っぱちってのも考えにくいですし、これは今迄伝え聞いた情報の中では比較的信頼性のある情報かもしれませんね。
裏を取るのも面倒なので、とりあえずこれを信頼できる情報と仮定して検証します。
「……裏取るの面倒って、おい」
私はブロガーであって、プロの記者ではありませんからね。
本職の記者さんだってネットで情報収集する今日日、ダブルチェックを行い記事の信頼性を高めるという仕事を一ブロガーがやってたら、本職の仕事がなくなりますよ。
ブログの記事は「噂」「憶測」であって「確定情報」ではないのです。
まあ、本職に負けないほど綿密に調査するブロガーさんもいますが、基本的にはブログは「記事として仕上がる前のネタ」と思って読むのが適切なのです、よ?(´∀`)
「もっともらしく言ってみただけだろ、それ(゚Д゚)」
あは。そうとも言うですよ(´∀`*)
さて……
「ネクソンパスをnexonに変えるツール」というとまるでデータベースそのものをハッキングしてるように聞こえますが、正確にはせいぜい「ネクソンパスを解析し、不正にログインした上でパスをnexonに変えるツール」という所のはずです。
抜かれたのはネクソンパスなんですね。めいぽのエントリパスでなくて。
ネクソンIDはアイピというコミュニケーションツールで、ウェブ上で自由に閲覧できますから、そのネクソンIDからの連想か、辞書攻撃もしくは総当り攻撃でのクラッキングってとこじゃないでしょうか。
ってことは問題はねくそん様のセキュリティ対策云々でなく、抜かれるときは抜かれるってことだと思うです。
個人で気をつけるっきゃありません。
はい考察終了。
「ちょ。なんか身も蓋もないような(゚Д゚;)」
えー。そうですか?(´Д`)
では、今言ったパス抜きの方法を少し解説してみましょうか。
某シータさんも言っていますしね。
『いいまじないに力を与えるには、悪い言葉も知らなければいけない』
って(´∀`)b
連想。
これはIDや個人情報から、それに関連する言葉を連想し、それを当てはめることにより正解のパスを探すという手段ですね。
・誕生日や本名や好きな芸能人名とか
・IDに似た言葉とかIDを3回書くとか
・IDと同じパスワードとk(ry
いずれにしろ、こんなパスをつけるのは極めて不注意と言えます。
何のためのパスワードだか分かりません。
で、辞書攻撃。
これは、パスクラツールの中に辞書を入れておき、その辞書にある単語を片っ端から試すというものです。
大文字小文字を混ぜる程度では防げません。パスクラツールはそのくらいは試してきます。
キャラ名のように飾り文字や数字などのおまけをつけただけ
・xxxBookxxx
・Neko01
……も、あまりよくないかもです。
この方法への対策は、誰かが知っていそうな言葉を使わない、これに尽きます。
でたらめな文字や数字や記号を織り交ぜて作ったパスワードなら、この方法で破られることはありません。
総当り攻撃。ブルートフォースアタックとも言います。
これはパスワードに許される全ての大文字、小文字、数字、記号を、その名の通り総当りで試して解析する方法です。
機械的に全パターンを試すわけですから、これは時間さえかければ、理論上は必ず正解のパスワードにたどり着くことになります。
ランダムな文字列にした所で、機械的な作業ですから無意味です。
ではこの手段にどう対抗するか。
答えはパスワードを長くすればいいのです。
パスワードを長くすればするほど組み合わせは増え、解析までの時間がかかります。
8桁くらいあれば何日、もしくは何週間という単位が必要になると思われます。
実際自分で計ったことはないので分かりませんが、そのくらいの桁数なら数時間ってことはないと思います。
パソコンフル稼働で何週間もかかるようなパスワードを解析しようなんて、パス抜き犯も思わないでしょう。企業の重大な秘密ならさておき、めいぽでせいぜい数千円を稼ぐために。
理論上では防げなくても、現実的には防げるというわけです。
要するに、パス抜きに対抗するには……
[IDや自分に関係なく、辞書に載っていない言葉で、長いパスワードを使う。]
これが有効だということですね。
「うわー普通。しかも前にも聞いた覚えが(゚Д゚)」
おねえちゃんが言えって言ったんじゃないですかあ(ノД`)
あ、そうそう。
工夫して長くて難解なパスワードを作ったとしても、それを覚えるのは大変ですよね。
テキストファイルに保存する、というのは便利ですが、場合によってはファイル交換ソフトやスパイウェアによって流出する可能性はなくはないです。
紙に書き留めるというのもいけません。あなたの部屋を覗いた友達や弟が出来心でいたずらしてしまうかもしれません。
何よりこれらの方法でログインしてたら、ネットカフェなど外でログインすることが出来ません。
私的にはこっちの方が重要です。
やっぱりパスワードは、頭の中に叩き込んでおくのが望ましいです。
というわけでここで、覚えやすい意味不明文字列の作り方を伝授しましょう。
「そんなのあるの?(゚Д゚)」
ありますよ♪(´∀`)
例えばこんなのはどうです?
・MniAAIlpvm
一見覚えにくいですが、私には覚えやすいですよ。
「??? なんで? こんなでたらめな言葉なのに?(゚Д゚)」
いえいえ。これらは一見無茶苦茶ですが、ちゃんと法則がある言葉なのです。
これは、
My name is Air Aterazawa.I like pudding very much.
の各単語の頭文字です。文章なら覚えやすいでしょう?(´∀`)
これは別に英文じゃなくてもかまいません。
・4 kumi no Maeda Eriko ga suki da!
→4knMEgsd!
・Yuuhan Ha Ebi No Tenpura
→YuhnHEbNTnpr(単語でなく文字ごとに取り出し)
ね。ほら、いろいろ作れるでしょう(´ー`)b
この原文くらいなら、流石にメモしても差し支えありませんしね。
「はぁー、なるほど(゚Д゚)」
忘れない程度に複雑で独創的なパスワードを作ってくださいね(´∀`*)
「パスを抜かれない為に自分で工夫するべきだってのは分かった。
……けどそもそも、ネクソンIDが公開されてなければよかったんじゃない?」
アイピでID晒すねくそん様が悪いって説ですか?(´Д`)
まあ、確かにIDを隠蔽した方が強固ではありますが、それをねくそん様の非と取るってのは、ねえ……(´∀`;)
だってIDはそもそも公開される為にあるんですもの……
IDってのは認識名ですよ。個人の識別番号。そのサービス上でのユーザの名前。キャラ名だってIDの一種。
このブログのURLを見てください。
air_aterazawaってありますね。Livedoorの私のIDです。
IDというのは本来こうして公開される項目として用意されてるんです。
どっちも隠しとくべき項目だったら、
ID・パスワード
でなくて
パスワード1・パスワード2
になりますって(´Д`)
「でもSHOPだと伏字になってるじゃん(゚Д゚)」
あれはねくそん様の気遣いでしょう。
よっぽどIDから連想されやすいパスをつけちゃってる人が多いって事ではないかと。
↑(訂正なのですよ。ねくそん様でもユーザのパスは分かんない可能性は高いですね。
仮に分かっても見てるわけがないのです。倫理的に)
ねくそん様は普通ならしなくてもいいようなフォローをわざわざしてくれてるんですよ(ノД`)
だというのに何もやってないだのいわれなき文句ばっか言われて……
かあいそかあいそなのですよ(ノД`)・゚・。
他のサービスでも通常IDは公開されるものですから、それはちゃんと理解しておいた方がいいと思うですよ。
ねくそん様の非を上げるとすれば……
銀行のATMのように何回アクセス失敗したら弾く、みたいな機能をつけてくれたらいいのに。って所ですが、ま、これもつけてないのはおかしいって程の機能でもないんですよね。
とりあえずそんなとこですか。
まあ、パス抜きの方法は今回挙げたもの以外にもあるですが。
「えっ!?Σ(゚Д゚;)」
例えばスパイウェアを仕込まれたりするパターンとか(´∀`)
こっちの方法の場合、ネクソンパスよりもまめに入力するエントリパスを抜かれるはずですので今回は違いそうですけど。
これの対策としては、変なソフトはダウンロードしない。変なサイトに行かない。スパイウェア駆除はまめに行う。そんな感じですね。
チートソフトにスパイウェアが仕込まれてたとか何とかという噂もありましたっけね。
これは結構有り得るんじゃないですか?
悪意を持って、若しくは金儲けの為に犯罪を辞さないような人が、プログラムに悪意を込めるのは極めて自然に考えられますからねえ。
しかも、チートソフトを購入する側も違反をやってますから、被害を与えても中々訴え出ることはないでしょう。
美味しすぎるカモです(´∀`)
まだまだありますよ。
これだけでしばらく話題に困らない程度には、様々な手法があるです。
お話が長くなるのでそのへんは気が向いたらですね。
……まあ、今回の件についてはまだ疑問に思う所もありますが、こんなもんでしょうか。
「疑問?(゚Д゚)」
ほら、なんでパスワードをnexonとしたのか、とか。
そんな分かりやすいパスワードにしては、簡単に取り返されてしまうじゃないですか。このソースの方の通りに。
また、この方法だとサーバログに怪しいアクセスログが鬼のよーに残ります。
どれだけプロクシ経由したって、警察が介入したら逃げおおせるのは至難です。
その辺どう考えてたのかなーとか。
また、ランカーさんのねくそんIDがどれであるか、どうやって知ったのか。
……これって調べれば書いてありましたっけ?
アイピは見ませんのでよく知らないのです。
んーむ。
この情報単体だと、ツールとか使わずに連想で、面白半分で抜いたってのが一番しっくりくる気もします。
このツールがあるという噂のソースが知りたい所ですが……
まあウェブ上で調べがつくとも思えないですしね(´Д`)
ま、色々想像は尽きませんが、この辺で終わりにしたいと思うですよ(´ー`)
君のとなり 様
……ふむふむ。当人からの伝聞ですか。
ランカー様のご友人同士なら嘘っぱちってのも考えにくいですし、これは今迄伝え聞いた情報の中では比較的信頼性のある情報かもしれませんね。
裏を取るのも面倒なので、とりあえずこれを信頼できる情報と仮定して検証します。
「……裏取るの面倒って、おい」
私はブロガーであって、プロの記者ではありませんからね。
本職の記者さんだってネットで情報収集する今日日、ダブルチェックを行い記事の信頼性を高めるという仕事を一ブロガーがやってたら、本職の仕事がなくなりますよ。
ブログの記事は「噂」「憶測」であって「確定情報」ではないのです。
まあ、本職に負けないほど綿密に調査するブロガーさんもいますが、基本的にはブログは「記事として仕上がる前のネタ」と思って読むのが適切なのです、よ?(´∀`)
「もっともらしく言ってみただけだろ、それ(゚Д゚)」
あは。そうとも言うですよ(´∀`*)
さて……
「ネクソンパスをnexonに変えるツール」というとまるでデータベースそのものをハッキングしてるように聞こえますが、正確にはせいぜい「ネクソンパスを解析し、不正にログインした上でパスをnexonに変えるツール」という所のはずです。
抜かれたのはネクソンパスなんですね。めいぽのエントリパスでなくて。
ネクソンIDはアイピというコミュニケーションツールで、ウェブ上で自由に閲覧できますから、そのネクソンIDからの連想か、辞書攻撃もしくは総当り攻撃でのクラッキングってとこじゃないでしょうか。
ってことは問題はねくそん様のセキュリティ対策云々でなく、抜かれるときは抜かれるってことだと思うです。
個人で気をつけるっきゃありません。
はい考察終了。
「ちょ。なんか身も蓋もないような(゚Д゚;)」
えー。そうですか?(´Д`)
では、今言ったパス抜きの方法を少し解説してみましょうか。
某シータさんも言っていますしね。
『いいまじないに力を与えるには、悪い言葉も知らなければいけない』
って(´∀`)b
連想。
これはIDや個人情報から、それに関連する言葉を連想し、それを当てはめることにより正解のパスを探すという手段ですね。
・誕生日や本名や好きな芸能人名とか
・IDに似た言葉とかIDを3回書くとか
・IDと同じパスワードとk(ry
いずれにしろ、こんなパスをつけるのは極めて不注意と言えます。
何のためのパスワードだか分かりません。
で、辞書攻撃。
これは、パスクラツールの中に辞書を入れておき、その辞書にある単語を片っ端から試すというものです。
大文字小文字を混ぜる程度では防げません。パスクラツールはそのくらいは試してきます。
キャラ名のように飾り文字や数字などのおまけをつけただけ
・xxxBookxxx
・Neko01
……も、あまりよくないかもです。
この方法への対策は、誰かが知っていそうな言葉を使わない、これに尽きます。
でたらめな文字や数字や記号を織り交ぜて作ったパスワードなら、この方法で破られることはありません。
総当り攻撃。ブルートフォースアタックとも言います。
これはパスワードに許される全ての大文字、小文字、数字、記号を、その名の通り総当りで試して解析する方法です。
機械的に全パターンを試すわけですから、これは時間さえかければ、理論上は必ず正解のパスワードにたどり着くことになります。
ランダムな文字列にした所で、機械的な作業ですから無意味です。
ではこの手段にどう対抗するか。
答えはパスワードを長くすればいいのです。
パスワードを長くすればするほど組み合わせは増え、解析までの時間がかかります。
8桁くらいあれば何日、もしくは何週間という単位が必要になると思われます。
実際自分で計ったことはないので分かりませんが、そのくらいの桁数なら数時間ってことはないと思います。
パソコンフル稼働で何週間もかかるようなパスワードを解析しようなんて、パス抜き犯も思わないでしょう。企業の重大な秘密ならさておき、めいぽでせいぜい数千円を稼ぐために。
理論上では防げなくても、現実的には防げるというわけです。
要するに、パス抜きに対抗するには……
[IDや自分に関係なく、辞書に載っていない言葉で、長いパスワードを使う。]
これが有効だということですね。
「うわー普通。しかも前にも聞いた覚えが(゚Д゚)」
おねえちゃんが言えって言ったんじゃないですかあ(ノД`)
あ、そうそう。
工夫して長くて難解なパスワードを作ったとしても、それを覚えるのは大変ですよね。
テキストファイルに保存する、というのは便利ですが、場合によってはファイル交換ソフトやスパイウェアによって流出する可能性はなくはないです。
紙に書き留めるというのもいけません。あなたの部屋を覗いた友達や弟が出来心でいたずらしてしまうかもしれません。
何よりこれらの方法でログインしてたら、ネットカフェなど外でログインすることが出来ません。
私的にはこっちの方が重要です。
やっぱりパスワードは、頭の中に叩き込んでおくのが望ましいです。
というわけでここで、覚えやすい意味不明文字列の作り方を伝授しましょう。
「そんなのあるの?(゚Д゚)」
ありますよ♪(´∀`)
例えばこんなのはどうです?
・MniAAIlpvm
一見覚えにくいですが、私には覚えやすいですよ。
「??? なんで? こんなでたらめな言葉なのに?(゚Д゚)」
いえいえ。これらは一見無茶苦茶ですが、ちゃんと法則がある言葉なのです。
これは、
My name is Air Aterazawa.I like pudding very much.
の各単語の頭文字です。文章なら覚えやすいでしょう?(´∀`)
これは別に英文じゃなくてもかまいません。
・4 kumi no Maeda Eriko ga suki da!
→4knMEgsd!
・Yuuhan Ha Ebi No Tenpura
→YuhnHEbNTnpr(単語でなく文字ごとに取り出し)
ね。ほら、いろいろ作れるでしょう(´ー`)b
この原文くらいなら、流石にメモしても差し支えありませんしね。
「はぁー、なるほど(゚Д゚)」
忘れない程度に複雑で独創的なパスワードを作ってくださいね(´∀`*)
「パスを抜かれない為に自分で工夫するべきだってのは分かった。
……けどそもそも、ネクソンIDが公開されてなければよかったんじゃない?」
アイピでID晒すねくそん様が悪いって説ですか?(´Д`)
まあ、確かにIDを隠蔽した方が強固ではありますが、それをねくそん様の非と取るってのは、ねえ……(´∀`;)
だってIDはそもそも公開される為にあるんですもの……
IDってのは認識名ですよ。個人の識別番号。そのサービス上でのユーザの名前。キャラ名だってIDの一種。
このブログのURLを見てください。
air_aterazawaってありますね。Livedoorの私のIDです。
IDというのは本来こうして公開される項目として用意されてるんです。
どっちも隠しとくべき項目だったら、
ID・パスワード
でなくて
パスワード1・パスワード2
になりますって(´Д`)
「でもSHOPだと伏字になってるじゃん(゚Д゚)」
あれはねくそん様の気遣いでしょう。
↑(訂正なのですよ。ねくそん様でもユーザのパスは分かんない可能性は高いですね。
仮に分かっても見てるわけがないのです。倫理的に)
ねくそん様は普通ならしなくてもいいようなフォローをわざわざしてくれてるんですよ(ノД`)
だというのに何もやってないだのいわれなき文句ばっか言われて……
かあいそかあいそなのですよ(ノД`)・゚・。
他のサービスでも通常IDは公開されるものですから、それはちゃんと理解しておいた方がいいと思うですよ。
ねくそん様の非を上げるとすれば……
銀行のATMのように何回アクセス失敗したら弾く、みたいな機能をつけてくれたらいいのに。って所ですが、ま、これもつけてないのはおかしいって程の機能でもないんですよね。
とりあえずそんなとこですか。
まあ、パス抜きの方法は今回挙げたもの以外にもあるですが。
「えっ!?Σ(゚Д゚;)」
例えばスパイウェアを仕込まれたりするパターンとか(´∀`)
こっちの方法の場合、ネクソンパスよりもまめに入力するエントリパスを抜かれるはずですので今回は違いそうですけど。
これの対策としては、変なソフトはダウンロードしない。変なサイトに行かない。スパイウェア駆除はまめに行う。そんな感じですね。
チートソフトにスパイウェアが仕込まれてたとか何とかという噂もありましたっけね。
これは結構有り得るんじゃないですか?
悪意を持って、若しくは金儲けの為に犯罪を辞さないような人が、プログラムに悪意を込めるのは極めて自然に考えられますからねえ。
しかも、チートソフトを購入する側も違反をやってますから、被害を与えても中々訴え出ることはないでしょう。
美味しすぎるカモです(´∀`)
まだまだありますよ。
これだけでしばらく話題に困らない程度には、様々な手法があるです。
お話が長くなるのでそのへんは気が向いたらですね。
……まあ、今回の件についてはまだ疑問に思う所もありますが、こんなもんでしょうか。
「疑問?(゚Д゚)」
ほら、なんでパスワードをnexonとしたのか、とか。
そんな分かりやすいパスワードにしては、簡単に取り返されてしまうじゃないですか。このソースの方の通りに。
また、この方法だとサーバログに怪しいアクセスログが鬼のよーに残ります。
どれだけプロクシ経由したって、警察が介入したら逃げおおせるのは至難です。
その辺どう考えてたのかなーとか。
また、ランカーさんのねくそんIDがどれであるか、どうやって知ったのか。
……これって調べれば書いてありましたっけ?
アイピは見ませんのでよく知らないのです。
んーむ。
この情報単体だと、ツールとか使わずに連想で、面白半分で抜いたってのが一番しっくりくる気もします。
このツールがあるという噂のソースが知りたい所ですが……
まあウェブ上で調べがつくとも思えないですしね(´Д`)
ま、色々想像は尽きませんが、この辺で終わりにしたいと思うですよ(´ー`)
トラックバックURL
この記事へのコメント
1. Posted by 藍狼 June 22, 2007 15:32
ダブルチェックはいつも本当に悩むところですが、えあさんの開き直りは見習いたいと思いました!
それと長いけど覚えやすいパスワードのコツ、いいですねぇ。
これなら自信が無くてデータとして保管するとしても、原文で保管すればバレにくいですもんね。
そして夕飯は天津飯がたべたいです。YuhnHTnsnhn!
それと長いけど覚えやすいパスワードのコツ、いいですねぇ。
これなら自信が無くてデータとして保管するとしても、原文で保管すればバレにくいですもんね。
そして夕飯は天津飯がたべたいです。YuhnHTnsnhn!
2. Posted by 左沢えあ June 22, 2007 22:41
ダブルチェックをする時間があるなら
私は2本記事を書くのです(´ー`)
「それもどうかと……(;゚Д゚)」
天津飯おいしいですよねー☆
気功砲で天下一武道会の会場を吹っ飛ばすんですよね!
そんな天さんをばりばりぼりぼr
私は2本記事を書くのです(´ー`)
「それもどうかと……(;゚Д゚)」
天津飯おいしいですよねー☆
気功砲で天下一武道会の会場を吹っ飛ばすんですよね!
そんな天さんをばりばりぼりぼr