アカウント(主にパスワード)のハッキングの対策と対応 |
Borealshelf | 11/05/31 07:57 |
昨今かなりの被害者(私もですが)あっていますね。
まず、パスワード特定の手口の解析は素人がどうこう出来る問題ではないと思います。
一度(約2週間前)ハックされて中身ごっそりもってかれましたけど、
パスワードの変更以来現在は受けておりません。
私は無線を使用しておりますが、ハックされる前に
①実際には無線が切れていないにも拘らず「回線が切断されました」
②「前回の終了が正しく行われていません」でした。
など、不解明な説明メッセージが出ることが多かったような気がします。
まぁこれはサーバーが弱いのか、クライアントなのか、はたまたその瞬間にPASSの特定が行われたものなのか、現状では判断がつきにくいので、なんともいえません。
大掛かりな手段を使えば、パスワードの特定は簡単に行えるものです。
IDは数ヶ月前にネクソン側が大量流出をしました。
IDだけが流出したとも思えませんのでキャラクターの名前なども一緒に流出した可能性が高いです。
某サイトを使えばこれらの情報からそのIDがどれだけのペットを保有しているのか、現在の累計やES、武器など所持しているのかがわかります。
PASSを特定は英数字たったの12文字、
パスワード解析プログラムを組み込めば結構簡単に解析されてしまいます。
●対策
個人
「パスワードの短期的な変更」気休めでもやったほうがいいです。
1ヶ月~3ヶ月に1回(PCのデフラグなどと一緒に)
ネクソン側
ワンタイムパスワードの導入(携帯電話限定)をする。
携帯限定にすべきなのは普及率もさておき他のプログラムが入りにくい構造をしているからです。(スマートフォン除外)
こちらからなにかを起こそうとするなら、
ネクソンに流失した情報を各個人で求めるか、情報開示請求を裁判所に行うかでしょうね。
(後者はそれなりに人数がいたほうが楽でしょう)
くだらない誹謗中傷以外なら喜んで返答しますよ。
みるくたん | 「ネクソン」がIDを大量流出させたなんて話初めて聞いた。 11/05/31 08:18 |
糞びっち市ね | >IDは数ヶ月前にネクソン側が大量流出をしました ソースは?('(‘ω‘*∩ 11/05/31 08:31 |
なんでやねん_tar | ハウジングや農場のことじゃない?今も絶賛流出中らしいし。 まあID登録画面で「このIDはすでに使われてます」って出るので ある程度短いIDならここで総当りすれば全部調べられるわけで。 他のゲームとIDを同一にしてるなら流出リスト使って照合すれば いいだけなのでなおさら。 マビでやたらと垢ハックの話題が多いので他のネクソンゲーの 自由板見て回ったけど、他は殆どこの手の話題なかった。TWで 数日前にネクIDハックされたって話があったくらい。マビだけ 異常ってことはユーザーの問題というよりは、マビ環境の どこかに原因があるんだろうなぁ。公式とは限らないけど。 11/05/31 08:32 |
てすす | >_<)携帯もっていない…。 11/05/31 08:44 |
はるかるか | 携帯無い人でもNexon IDに関しては、現在もジェムアルトのキーホルダー型ワンタイムパスワードトークン (Amazon\1,280-)対応してます。 スタンドアローンなハードウェアなのでクラックは難しそうです。 はやくMabinogi IDも対応させてー ※Nexon公式のFAQ [ワンタイムパスワード]キーホルダー型トークンならどの製品でも使えますか? http://www.nexon.co.jp/JP/Content/Support/Faq.aspx?no=114934&pg=1&scat=0&scat2=0&kw= 話は、ずれるのだけど 都度サーバと直接通信して同期しない仕組みのセキュリティートークンって、2度と使えない部分はどうやって実現してるんでしょうね?サーバ側で一度使ったパスワードは全部記録してる? あるいは時刻同期してて連動させてる? この手の製品大抵アルゴリズム非公開なんですよね。 11/05/31 10:50 |
Borealshelf | これを公開しちゃうとまぁ・・・。 おそらくですが周期的に消去してるんでしょうね。 使えなくしちゃうと限界が来ますからね。 昔やってた他げーのワンタイムパスワードだと数字6文字でしたから100万通り。 会員が100万もいるわけ無いけどInOutを繰り返してれば即全滅しますからね。 11/05/31 11:04 |
はるかるか | そっか。とっても安価なソリューションだからあまり複雑な仕組みにはできないですものね。 安全性を考えた上で実用上問題無い期間がすぎたらまた再利用できるって考え方はわかる気がする。 11/05/31 11:39 |
なんでやねん_tar | どうも見た感じだとシリアル番号(記号)をネクソンに通知して それと時間からOTPを算出してるような… これだと通信なしのアプリでOTPを発行できるところから考えて、 ネクソン鯖にある種(シリアル番号)が流出してしまったら、 ハッカーも同じアルゴリズムで簡単にOTP算出できてしまう。 私の勘違いで、種になる情報は別の機関が持ってて、ネクソンが ログイン時に毎回そこに問い合わせてるとかならいいんですが。 11/05/31 12:18 |
はるかるか | セキュリティー製品のなかでは安価なものなんでしょうから、どこまで考えているのでしょうね。 サーバ側は多層的に防御するのが普通だとは思うのですけど。 11/05/31 13:10 |
ドニーソ | 変更前のパス:Z**** 変更後のパス:Y**** 0-9、a-z、A-Zの順で、解析されるとして 上みたいな場合だと変更の効果がマイナスになる気がするけど、こういう部分はどう考慮すればいいのかな。 11/05/31 10:04 |
Borealshelf | PASSの解析速度を一応書いておきます。 まずmabinogiで使用できる文字は62文字(A-Z,a-z,0-9)ですが パスワードは8文字構成くらいはしてるでしょう。 通りとしては下記になります。 数字のみ=1億、英字のみ=53兆、全文字活用=218兆 計算方式は使える数×通り数乗です。 ちなみにハックするPCは最低でも高性能ワークステーション(1億通り/秒)での突破でしょうから 数字のみ=一瞬、英字のみ=6日、全文字活用=25日 となります。 あくまで1台でやっている場合です。このご時勢ワークステーションは1台10万切ってますから個人でも5台くらいはもてるでしょう。業者となると・・・。 ちなみに私の旧パスワードは英小文字のみの構成で8文字でしたので、やられれば30分程度で突破されます。 11/05/31 11:06 |
なんでやねん_tar | いい加減何度も言うの疲れますが、ネット越しのパス解析は ログイン鯖の回線速度・応答速度で頭打ちになるので、そんな 速度では解析できません。 11/05/31 11:37 |
ヴィヴィオ0 | そんな速度でアクセスしたら、一瞬で認証サーバーダウンすると思うけど? 11/05/31 11:42 |
なんでやねん_tar | パスを変更することによる利点は正直ほとんどありません。 もしあるとすれば、運営の鯖がハックされ、アカウント情報内の パスワードか、暗号化されたパスワードが流出した場合に、 それが実際使われるまでの間に、たまたまパスを変更していたら 救われる、ただそれだけのことです。 流出している事が前提の議論なので、手間を考えれば諦める方が 合理的だと私は考えます。(パスワードの頻繁な変更を推奨する ということは、鯖の脆弱性を告白してるようなものなので、 そんな告知をする連中の神経がわからない) 11/05/31 11:47 |
Borealshelf | 前提が前提なのでどうにもならない。 でも「気休め」でもなにかあったときにこっち側で対応が出来るんじゃないかな。 たとえば1日前にPASS変更してハックされたとなれば 自分のPC内で活動してるウイルス系や進入された形跡などがなければ その期間にネクソン側に問題があったことが証明できるわけで (正直:対策を講じないといけない=というかプレイヤー側がそんなことしてる時点でおかしいけどさ) 情報をネクソンサポートに送りつける+送りつけた内容を自由掲示板に詳細情報とともに乗っけるなんてことすれば他者への間接的な開示とネクソンの考えていることがわかる。 他人はそれを下にPASS変更の対策を講じられる。 どうやらずっと前からこの問題はあって、 ネクソン側はPASS変更要請しか出してないようですから真剣に考えてないんでしょうね。 もしくは金額と利益の割があわないとか。 海外でも同じような問題が解決されてないようなら本社側が動けばあるいは・・・。 全体の問題ならもはやどうにもならんでしょうね。 11/05/31 13:33 |
ほえるな危険 | 去年の時のように「1週間に起きる被害量がいつもの10倍以上」になってますね。 ID,PASSが流出したと考えられる量 11/05/31 10:05 |
ヴィヴィオ0 | ログインの試行を3回までに限定して、それ以上行うと強制的にロックを掛けてアカウントを一時凍結。 ロックされたら登録しているメールアドレスに通知してそこから解除できるようにする。 ログイン可能なホストを限定できるようにする。 (少なくとも自分の使っているISP以外からアクセスできなくなる) (ネカフェの場合は、除外とする。) 11/05/31 11:11 |
ペット | 個人でできることは、ネクソンが動く気になるように圧力をかけることしか残されてないと思う。 それ以外は何をやっても気休め。 11/05/31 13:13 |
城福 | ほかのネットゲームやった事ないんですが、アカハックってこんなにあるものなんでしょうか。 ネクソンが特別怠慢してるのかな。萎えますね…。 11/05/31 16:14 |
件名 | 名前 | 日付 | 閲覧数 | ||
2005/03/23 | |||||
2005/03/04 | |||||
2005/01/17 | |||||
+5 | 下克嬢 | 2011/06/05 | 8035 | ||
+5 | Refilia | 2011/06/05 | 5001 | ||
栗栖_rua | 2011/06/03 | 6759 | |||
+9 | 国士無双 | 2011/06/02 | 4944 | ||
※元の記事は削除されました。 |
|||||
+19 | Borealshelf | 2011/05/31 | 8153 | ||
+38 | 詠羅 | 2011/05/27 | 12701 | ||
エフカ_mar | 2011/05/27 | 1998 | |||
+10 | 来栖川千歌音 | 2011/05/26 | 9462 | ||
+27 | 舐めないで | 2011/05/22 | 7238 | ||
+15 | レッテラ | 2011/05/21 | 5145 | ||
+12 | はぐれねこ | 2011/05/21 | 9748 | ||
+26 | 凛火 | 2011/05/17 | 7578 | ||
+7 | 桜小娘 | 2011/05/03 | 8863 | ||
※元の記事は削除されました。 |
|||||
アニメータ | 2011/05/03 | 1489 | |||
+75 | 敗訴くん | 2011/05/01 | 12340 |