桜色の旋風

    ドラゴンネスト バルナックサーバ 社会人ギルド 桜色の旋風ホームページ

    092401.jpg

    スポンサーサイト

    上記の広告は1ヶ月以上更新のないブログに表示されています。
    新しい記事を書く事で広告が消せます。

    | スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

    重要! ワンタイムパスワード絶対にいれてください!

    こんにちはーフィレです。




    昨日、花さんのまったく使われていないハンゲのアカウント
    がアカハックされてました。

    使用頻度上っていうか、そんなアカウントなのでワンタイムパスワードは使ってませんでした。




    使ってないので被害はありませんでしたけど、すまさん、ろびんさんがワンタイム
    まだ導入していないことが発覚!





    わーーーー! もしまだの人いたら絶対にワンタイムいれてください!




    アカハックされたら引退しちゃうかもしれないですよね。。

    ずーーーーと、一緒に楽しくやってきてるのに。。





    ハンゲのログインはハンゲIDとパスワードでログインできます。

    このハンゲIDは様々なところで公開される場合がありますけど、
    これが分かると、あとパスワードだけです。




    パスワードなんてわかんないんじゃ。。って思っている人は甘いです。


    少しでもWeb系のソフトウェア開発の知識がある人がいれば、総当たりロジック
    使ってパスワード解析できちゃいます。


    フリーソフトの Pika Zipと 一緒のロジックですね。
    とても基本かつ、シンプルなロジックです。


    「PikaZip活用法 1 (基本編)」より



    これはパスワードを1桁目から総当たりで当たっていくロジックです。

    どの程度でパスワード解析できるか時間ある方は試してみて下さい。

    桁数によりますが、
    え!って思うはずです




    使用文字
    a-z
    A-Z
    0-9
    特殊文字(%$#など)


    ロジック;

    123a がダメだったら
    123b
    123c
    .
    .
    1234a
    .
    .
    11111%
    .
    .
    #%15jPGa#&


    と、すべて総当たりで調べていきます。
    これはzipパスワード解析で、時間は短く解析できますけど、これと
    同じロジックをWeb上でできるようなしくみとソフトを作るだけで、アカウントハック
    のための環境を構築することが可能になります。



    パスワードの総当たりですので、狙われれば必ずパスワードは解析されます。





    どんな状況になったら狙われるの?



    ハンゲIDが分かれば狙われる可能性が高いです。


    それはなぜ?

    ハンゲIDの解析とパスワードの解析を両方やると、組み合わせが天文学的な数に
    なるためです。
    パスワードだけであれば、許容範囲内の時間で解析できます。


    こないだまで冒険者の知恵袋?とかで、
    ハンゲーID表示されてましたよね?

    ハンゲーブログはまだ表示されてるんでしたっけ?


    IDは結構おおやけになりがちです。
    なので、ワンタイムパスワードは必須です。




    タバコ吸っている方に止めようとしている方は多いです。
    体に悪いって知っていても中々止める人は
    いません。


    でも、吸ったら明日死ぬと分かれば絶対に止めるでしょう。



    それはなぜ?




    リスクを認識しきれていないと思います。

    これとワンタイムパスワードも一緒だと思います。



    まだな方が周りにいたらどれだけ容易に解析されるか説明してあげて下さい。


    ワンタイムパスワードを入れると、三秒ログインが遅れます。


    たったそれだけのことで被害回避出来ます。
    絶対にやりましょーねー!



    桜のメンバーでまだな方がいましたら、
    Hマンティソロを空気椅子でクリアする罰ゲームが待っていますw


    早く導入してくださいねw






    わたし、楽しい時間を与えてくれる
    仲間がいなくなるのイヤです。。




    ブログランキングに参加しています
    押していただくとランキング投票に1票入ります
    ドラゴンネスト・攻略ブログ
    スポンサーサイト

    | ブログ | 08:24 | comments:15 | trackbacks:0 | TOP↑

    COMMENT

    自分はハンコイン2300円分商品券買われましたw
    しかもドラネスで遊んでいる時にです。。

    幸いパスワード変更手続きができて、ワンタイム導入したので
    今は安心ですが、ハックされた時は本当に恐ろしかったです><。

    みんなワンタイムパスワードの手続きしましょう^^

    | ぽき | 2012/03/08 08:40 | URL | ≫ EDIT

    スマホにしてから、ワンタイムが凄く快適で確かに
    3秒で済むようになりました…が。

    普通の携帯の時は、その10倍近くかかって面倒でした><

    ブックマークからサイト開いて…って携帯じゃ不便です。

    それでも、ワンタイムは大事なので入れてましたけどねっ!

    | アリス | 2012/03/08 08:45 | URL |

    ぽきさん、ドンマイでーす。
    ワンタイムいてたからもう安心ですねw

    | フィレシア | 2012/03/08 09:31 | URL |

    ありすさん、

    わたしも今年くらいからスマフォです。
    それまでずっと携帯でしたけど、そんなに時間かかりませんでしたよー

    携帯用のページだったら、パス表示のターンアラウンドタイムで三秒。パス入力で三秒で、10秒あればいけたと思います。
    アリスさんと違うとこみてたのかなぁ。。

    やっぱり職業上、リスク認識出来やすい人は全員やってますよね。

    ハンゲは警告は出してますけど、どれだけ危険性があるかについて伝わってこないから、いまだに被害が減らないように見えます。

    すぐにでもハックされます!位のリスクがあることが全く伝わってきませんよね。

    | フィレ | 2012/03/08 09:48 | URL |

    ワンタイム導入してて垢ハックされた人がここに…ノ

    パスワードは定期的に変えましょう@@。
    ネカフェに行ったら必ずパスワード変えましょう@@。

    これ、絶対です。
    @@。

    | NIO | 2012/03/08 10:09 | URL |

    NIOさんだー!

    こんにちはー

    ワンタイムは絶対に携帯電話でやってください。PCツールバーなどは絶対に使用しないでください。
    携帯電話、スマフォ以外だと、ワンタイムパスワードのトークンIDが盗まれる場合があります。
    スパイウェアや、事前にネカフェのパソコンに仕込む等です。
    盗む方法はいくらでもあります。
    トークンIDがわかると、ワンタイムパスワードも解析される可能性は否定出来ません。なので、携帯がいいです。

    もし、携帯使ってやられた場合は、どこからか情報が漏れています。企業からではなく、個人のパソコンからです。
    どっかにメモ残したりしてもいけません。

    | フィレ | 2012/03/08 10:39 | URL |

    ワンタイムパスワードのトークンIDがわかれば、例え30秒でパスワードが変わっても、ここでテストし続けるプログラムを作れば、その内hitすることになり、そのパスワードを30秒以内に使われれば、ハックされちゃいます。

    https://idprotect.verisign.co.jp/VipOtpTestAndReset/Test/enter-token-id.htm


    トークンIDさえ盗まれなければ、ワンタイムは安全だと思います。

    なので携帯がいいです。
    トークンIDが知られるリスクがありません。

    | フィレ | 2012/03/08 11:14 | URL |

    桜のメンバーじゃないけどワンパス設定しました!
    これで空気イス刑はまぬがれた…。が面白そうなので自発的に刑執行してみます(・ω・)b

    | バナーナ | 2012/03/08 12:24 | URL |

    えぇぇーーーw
    空気椅子本当にやるんですかーw


    でも想像すると笑っちゃいますよね
    オフイベで採用されてたりして。。w

    あ、


    ワンタイム使ってくれる人増えるキツカケになってよかったですー

    | フィレ | 2012/03/08 13:05 | URL |

    こんにちわー!^^(遅

    自分は携帯のワンパス使用してましたが、
    恐らくネカフェのPCでPASS抜きされました@@。

    その筋の人に詳しいことを聞いたら
    ネカフェなどのお店の人(店長や従業員)などが個人の利益のために
    PASS抜き仕込んで、RMT業者にその盗んだリストを売ってるってのが
    実際結構あるらしいです@@。

    ドラネス公認店だったので尚ひどい@@。

    まぁとにかく、
    携帯ワンパスの設定と、パスワードの定期的な変更と
    不正アクセスの有無の確認、必須ですねぇ><。

    | NIO | 2012/03/08 16:58 | URL |

    こんにちはー。JUSのあっしゅです。初コメお邪魔します。

    フィレさん、ブログで警告発信、ありがとうございます。
    実はワンタイム、面倒がってちゃんと設定してなかったので、今夜やろうと思いました><
    やっぱり、そこまでの危機感なかったの・・・。
    携帯じゃないといけないってのも、意識薄かったな。
    私も自分のブログで呼びかけることにします。
    ありがとうございましたm(_ _)m

    | あっしゅ | 2012/03/08 17:03 | URL | ≫ EDIT

    NIOさん、やっぱりネカフェだったんですね。。
    ネカフェ危険ですね。。
    もともとキーロガーって優秀な良ソフトなんですけど、こんな感じで悪用されちゃうんですよね。。
    これって被害届出せば警察動ける気がしますけど、ドラネスって誰も被害届だしてないのでしょうか。。

    最近、小学生か中学生の集団が逮捕されましたよね。
    でも、面倒ってのもありますよね。

    運営が代行してやってくれればいいのにー
    ユーザは委任とかで。

    | フィレ | 2012/03/08 20:29 | URL |

    アッシュさんこんにちはー

    えぇぇー アッシュさんもやってなかったんですかw
    でも、よかったです。
    ブログきっかけでワンタイムパス導入につながって嬉しいですw

    | フィレ | 2012/03/08 20:31 | URL |

    今回の事件は実害無かったし、少しでもワンパス導入される方が増えて良かったです。
    フィレさん、ブログで取り上げてくれてありがとです。

    | 一花 | 2012/03/08 21:39 | URL |

    本当に被害なくてよかったですよねー!

    | フィレ | 2012/03/09 01:38 | URL |















    非公開コメント

    TRACKBACK URL

    http://sakurawhirlwind.blog79.fc2.com/tb.php/304-768194e3

    TRACKBACK

    PREV | PAGE-SELECT | NEXT

    上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。