若干自分の首を絞める事かもしれませんが、小話ってことで。
IT業界と言われるところは性質上、IDとパスワードを設定する機会が多いです。
でもまぁ両者を最初から真面目に考える事は少なく、特にパスワードは客先への納品前だと高確率で頭のユルい文字列になっているって事。
以下が初期におけるパスワードの一例。
・password
→かなりそのまま。考える気ゼロ。
・passwd
→考える気ゼロその2。UnixやLinuxの環境でよく見る。
→余談だが、passwdはパスワードを変更する時のUnix系コマンドだ。
・IDと一緒
→ゼロその3。とりあえずと思いつつ、そのまま納品まで直されない場合も。
・IDの二度繰り返し
→某ソフトウェアの特権ユーザーでadminadminとか。Linux特権ユーザーでrootrootとか。
・IDに01や001をつける
→例では、admin01やroot001など。
→ちなみに特定名+01は割と納品後も普通に使われている場合が多い。
・a1b2
→気が利いてそうで利いてない例
・zaq12wsx
→通称ザック。qwerty配列キーボードで、zキーから上って2キーから下ってくるというもの。
→qwerty配列という名称がqキーから横に読んだものなので、そのパクりとも言える。
・ZAQ!"WSX
→通称シフトザック。Shiftキー押しっぱなしでザックを入力するもの。
こういう馬鹿らしいところからアタックするのがソーシャルハックと呼ばれるパスワードクラックの手法。
a~zと数字の組み合わせが膨大にあるからって、なかなか無意味な文字列はパスワードにしたがらないものだから、想像以上に範囲は狭いと言える。
0 件のコメント:
コメントを投稿