パスワード強度をチェックするツールがセキュリティ不十分で取り下げられる

パスワード強度をチェックするツールがセキュリティ不十分で取り下げられる 1

パスワード、強度チェックで、盗まれた(季語なし)。

実際に誰かのパスワードが盗まれた可能性は極めて低いようですが...セキュリティ強化を訴える人物がセキュリティを理解できていないという皮肉なアクシデントが起きたようです。

つい先日、アメリカのニュース専門放送局CNBCによる番組、The Big Crunchのコラムニストが強力なパスワードを設定する重要性を説くコラムを投稿しました。そこでは自分のパスワード”候補”を入力すると、セキュリティ面でどれくらい強いか弱いか、弱いとしたらなぜか、を教えてくれるインタラクティブなツールも設置されていたそうです。

現在はそのコラムは取り下げられ、パスワードの強度をチェックするツールは使えないようになっているようですが...これにちょっと問題があったんですね。

もしもこのチェックを使った人がいたら、すぐにパスワードを変更したほうが良いかもしれません。もちろん、そもそもパスワードは定期的に変えるのが1番なんですが。

パスワード強度をチェックするツールがセキュリティ不十分で取り下げられる 2

上の画像は試しに「password」というパスワード候補を入力した時の結果を示しています。「最も使われるパスワード上位5位に含まれています。瞬間的にハッキングできるでしょう」、「とても短いです」、「文字しか使われていません」と分析結果を与えてくれています。

...これ別に良いツールじゃないの?

って思いますよね? ところがこのツールの仕組みに問題があったようです。このコラムが投稿されてすぐに、ツイッター上で人々がその危険性について指摘し始めました。

「うわー! エンターを押すとCNBCが君のテスト・パスワードを第三者団体に送るよ。」

ツイッターでの指摘によると、このツールは入力したパスワードデータを第三者団体に送ってデータ処理をしていたようなんです。たとえ悪意が無かったとしても、インターネットで見つけた入力フォームにパスワードは簡単に入れたりしたらダメですよね。

これってどれくらい危険なことなんでしょうか? 米GizomdoのAlisa Walker記者はGawker MediaのEditorial LabsのディベロッパーであるAdam Pash氏に聞いたようです。Adam氏によると可能性は低いけれど、このツールを使ってパスワードを盗み取ることはできただろうとのこと。

フォーム形式なので、エンターを押すと入力したパスワードが保存される形でURLを変えるんです。

例えばこちらが元のURL。

http://www.cnbc.com/2016/03/29/apple-and-the-construction-of-secure-passwords.html

ここで「asdfasdf」というパスワードを入力してエンターを押すと、URLが次のようになります。

http://www.cnbc.com/2016/03/29/apple-and-the-construction-of-secure-passwords.html?name=asdfasdf

URLにすっぽり自分の入力したパスワードが表示されちゃってる!

Adam氏によると「理論上は、もし誰かが君のネットワークを探っているとしたら、このURLリクエストをそのまま見ることができることになる。そしたら君のネットワークからの他のトラフィックを探ることで何らかのアカウント情報が見つけられるかもしれない」とのこと。

例えばEメールアドレスを見つけるのって難しくないわけです。もしも自分が現在使っているパスワードの強度チェックをしていたら、それがバレて、Eメールにログインされて、そこからさらに別のパスワードがバレて...ということも可能だと。

もちろんCNBCの担当者も悪意があってこのようなツールを公開したわけではないでしょう。Adam氏によると「深刻な問題だとは言えないけれど、まぁ確実にマヌケだよね」とのこと。

おそらく事態に気づいたCNBC、今現在はページに行こうとするとこんな感じでページが見れなくなっています。

パスワード強度をチェックするツールがセキュリティ不十分で取り下げられる 3

多くの人にとって良い教訓となったのではないでしょうか。

source: CNBC

Alissa Walker - Gizmodo US[原文

(塚本 紺)