総当りアカハックの対策と”限度”について考えてみる。 |
ねおはいど | 11/05/31 17:51 |
【NexonIDで作成したマビノギIDの一覧検索】
http://www.mabinogi.jp/6th/popup/id_notice01.asp
【NexonIDからマビノギIDのパスを変更する】
http://www.mabinogi.jp/6th/popup/forget.asp
こいうのもうちょっと目立つ所に置いてよ。
→というわけで目立たせておきます。
-------------
昨日めでたくアカファックパーティーにお呼ばれを受けた、ねおはいどと申します。
いやーびっくりでしたね、まさかマビでも裸族になってるとは!←
板違い上等のスレを立てたり(削除済)、ご迷惑ご心配をおかけしましたが、
色々と調べまわった結果、必要と感じた呼びかけをしておこうと思います。
アカハックされたくない方に2つお願いです。
・パスを【 大文字を含む9桁以上 】または【 数字を含む10桁以上 】にして下さい。
・パスを【 英単語の組み合わせにしない 】で下さい。
◎パスワード変更例:
testpass → test23passX
password → pasdworf456
passforyou → pass4Uzxc
※かなり多めに見て、基本的に毎秒10万回のログイン試行が可能という前提で話します。
Nexon鯖のスペックという制限があるため、
どれだけ中華側が処理性能を上げても限度があります。
------------------------------------------------------
◆ まず、パスの長さについて。
小文字8桁までのパスは[ 24日 ]で全て(aaaaaaaa~zzzzzzzz)抜かれます。
そして、Max12桁で " 大文字 + 小文字 + 数字 " のPassを抜くのには、
もし仮に毎秒1億回の試行が可能だとしても[ 100万年 ]かかります。
マビノギのID数が10万とすれば、10年に1アカしか抜けません。
つまり、「安全なパスを設定すれば、総当りでパスを抜ききる事は不可能にできる」訳です。
「12桁でも抜かれたから防御は不可能」じゃありません。
「12桁を正面から抜く事の方が不可能」なんです。これとは別の視点が必要です。
小文字8桁のPassに大文字を1字加えるだけで、
小文字のみ8桁と比べて約13000倍の[ 882年 ]になります。
『小文字+大文字の8桁』
『小文字+数字の9桁』
『英字のみの10桁』
これら3つが大体同じ程度の安全性で(同基準で[ 17~44年 ])、
既に抜かれてるラインでもあります。なので、この基準より1桁以上増やして下さい。
※突破に40年というのは非常に「短い期間」です。
上記と同様に総ID数が10万とすれば、1日平均6.8件のパスが抜かれてる計算になります。
◆ 次に、英単語について。
12桁クラスのPassでも抜かれた事例がありますが、実際に12桁を総当りで検索し尽くすのは、
上で書いたとおり不可能だし、実際の件数とHit率が合いません。
長いパスで抜かれた可能性としては、”辞書検索”がありえます。
大学入試に必要な英単語数は難関校で最大8000、高校入試なら2000ぐらいでしょうか。
この単語を組み合わせて検索している可能性があります。
つまり、上の例の『 passforyou 』というパスワードの場合。
10桁の英字として検索するならば[ 44年 ]かかるレベルですが、
これを {pass}{for}{you} という、高校入試レベルの3つの英単語として検索されたならば、
僅か1/17000の[ 22時間 ]で突破可能です。
◆ IDの流出について
IDに関しては、諦めて下さい。
残念ながらIDはハウジング以前の問題で、既に全て抜かれていると考えた方が良いです。
マビID新規作成画面にて。「このIDは既に存在します。」IDクラック完了です。
IDとパスが同じである事がどれだけ危険かわかりましたか?
ちなみに、自分はID6桁・Pass8桁で小文字のみの、辞書に無い固有名詞でした。
詳細はプレ板に書きましたが、”流出元がほぼ無い”状態で受けた事だったため、
自分がハックされたこと自体が、総当りの可能性が非常に高いことを示す結果だと思っています。
◆ アカハック被害に対する最強の防衛策
垢ハックが頻発するのはリネ1でもありましたが、やっぱりいつ見ても遣る瀬無くなります。
ダンバ銀行にボロボロ落ちてるRとかSつきの武器。…何でそこまでする必要があるんでしょうね。
実は自分は被害を受けたのに、ショックはありましたがあまり凹んでません。
それはこの最強の防衛策があったからだと思ってます。
『マビノギのIN時間を減らす』
学校で流行ってて熱中してるゲームのセーブデータが消えたら、ショックのどん底。
でも飽きてるゲームだったなら、あーあ、次のゲームやろう、で終わる。
マビノギやめろって言うんじゃないんです。
ただこの現状で、あんまりハマりすぎたり、リアルマネー投資しすぎるのはどうなんだろう?
って、思うわけです。ここでは総当りに関して書きましたが、他にも手口はありますし。
リアルマネーの投資を控えることは、Nexonへの間接的な対策喚起にもなると思います。
呼びかけとか言いつつ、長々書いちゃってすみません。
うわーなげえ。ほんっとすいませんまじすいません。
まあでもこんな時だし。1回ぐらい語らせてくれよ。というわけで!
読んでくれてありがとうございました!
キルフェル | 実際は回線の速度とかも考えるともう少し掛かりそうなきも 11/05/31 18:05 |
ねおはいど | すみません、1個一番大事な事を言い忘れてました。 これは「総当り攻撃に対する」防衛に関しての話です。 Nexonからの流出や、公式ログインの脆弱性といった可能性も十二分にあると思います、高校生でも3600万NPを余裕でゲットできるセキュリティですからね。 もしそうなら本当に、お呼ばれが来ない事をモリアン様にお祈りするしかないと思います。いやー素晴らしいファンタジーライフですね。 11/05/31 18:07 |
少輔 | 大文字使えること知らなかった さっそく変更しておこう 11/05/31 18:13 |
ねおはいど | 偉そうに言っときながら実は自分も昨日知りました。 大文字1個加えるだけで総当りの安全性はだいぶupすると思うんだよなぁ 11/05/31 18:15 |
ねおはいど | 【NexonIDで作成したマビノギIDの一覧検索】 http://www.mabinogi.jp/6th/popup/id_notice01.asp 【NexonIDからマビノギIDのパスを変更する】 http://www.mabinogi.jp/6th/popup/forget.asp こいうのもうちょっと目立つ所に置いてよ。 11/05/31 18:25 |
洋服箪笥_rua | 後者は知りませんでした。パス忘れたアカウントあって困っていたところです。ありがとう! 11/05/31 21:43 |
イノセンス_tri | 俺もハッキング被害の報告を受けてPASSを変更した。 『総当たり攻撃』にはかなり強くなったと思うぜ。 技術的な情報提供に感謝する。 11/05/31 18:51 |
そらけ仙人 | 8桁ですごい単純なパスですが数年垢ハック受けたことがないなぁ。 垢ハック受ける人と何が違うんだろ 11/05/31 18:58 |
CYGNET | パスワード変更の時にKeyLoggerに新しいパスワードを抜かれてしまうとか、パスワード変更で逆にパスワードそのものの強度が低くなってしまったのでは? 私としては、この状況ではパスワード変更の時点で抜かれてしまうのが、同じパスワード維持するよりもリスクがあるように感じます… ログインの時点で抜かれてしまうのであるば変更は意味をなしませんし、そうでないならパスワードを送受信する機会そのものを減らした方がいい、という考えです。 11/05/31 20:10 |
ねおはいど | まったくもって自分も同じでした。 オリジナル固有名詞だけどずっと使ってる8文字の英字。今まで一度も受けたことがないから、受けたことのある人は何かが悪いんだろうとか思ってた矢先でした。 だからこそ、驚きが一番に来ましたね。どうかお気をつけて。 >パスワード変更の時点で抜かれてしまう 確かに。そういえば↑のパス変更フォームも暗号化されてないという… 11/05/31 20:26 |
ヲタク嫁候補 | 垢ハックに合ってる奴等はマビノギのin率が低い奴ばかりに思えるんだがどうよ。 パスを複雑化させるのも悪くないが、メールの方も どうにかせんといけないだろ。 そうだ思ったが垢ハック被害者がどんな対策をしてたか を書いてくれるのなら、どうせなら突破されてしまった パスがどんなもんだったかも書いて欲しいな。 突破されたパスは意味を持たないしどんなのをつけてたか 気になる。 そこで被害に合う人と合わない人の差があるやもしれんし。 11/06/01 03:13 |
ねおはいど | どうなんだろう。 「アカハック報告の中でin率が低い人の割合が多い」だけでは 「実際にin率が低い人が被害にあう割合が高い」とは、判断できない。 例えば、どっかのスレで見かけたけど、 「ハックされた人の9割がソフトキーボードを利用していなかった」という話がある。 これはキーボード手打ちが圧倒的に危険という事だろうか?いやいや、そんなことはない。 つまり、ハックに関係なく「総人口のうち9割がソフトキーボードを利用していない」ならば、単にその比率が反映されただけで、アカハックとソフトキーボードには何の関係もない事になる。 ただ、マビに接続中のIDに接続を試みると、ご丁寧に「現在接続中」という事を教えてくれて、なおかつ接続中の人には何も知らされないという中華大喜びな仕様になってることもあるわけで、”やりやすさ”という意味ではin率の低い人が優先されてるのかも。 11/06/02 20:07 |
件名 | 名前 | 日付 | 閲覧数 | ||
2005/03/23 | |||||
2005/03/04 | |||||
2005/01/17 | |||||
+8 | ミラリンク | 2011/06/05 | 8219 | ||
+3 | しまりん | 2011/06/03 | 5685 | ||
+7 | 絹旗最愛_mar | 2011/06/03 | 5138 | ||
+21 | 葉落 | 2011/06/03 | 8126 | ||
栗栖_rua | 2011/06/03 | 6836 | |||
+23 | 樺鱗 | 2011/06/02 | 6374 | ||
+9 | 国士無双 | 2011/06/02 | 4960 | ||
※元の記事は削除されました。 |
|||||
+8 | 倉庫でつ | 2011/06/01 | 4285 | ||
※元の記事は削除されました。 |
|||||
+9 | カシマレイコ | 2011/06/01 | 7087 | ||
+3 | pinkneko | 2011/05/31 | 4396 | ||
+15 | ほえるな危険 | 2011/05/31 | 6015 | ||
+13 | ねおはいど | 2011/05/31 | 6783 | ||
+42 | ユージェニー_cic | 2011/05/31 | 8448 | ||
+3 | ニルヌス | 2011/05/30 | 3882 | ||
シュナ440 | 2011/05/30 | 4735 |
そう、解析なんかされてないんだ
だってクライアント側にはキーロガーとかも何も入ってないんだから 11/05/31 18:01