Skip to content

Instantly share code, notes, and snippets.

@yopodo

yopodo/ac20221220.md

Last active December 20, 2022 02:26
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save yopodo/2cacd43e90249636c6820896413f1e60 to your computer and use it in GitHub Desktop.
Save yopodo/2cacd43e90249636c6820896413f1e60 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
ac20221220.md

初めまして。
よぽすき~というmisskeyインスタンスを運営しているよぽどです。

この記事はえとねるん Advent Calendar 2022の20日の記事です。
ほかにも沢山の記事があるので見ていってください。

パスワード管理ツールを使おう!

早速ですが皆さんは普段どのようにしてパスワードを管理しているでしょうか。
多くの方は既にブラウザやOSに統合されたパスワード管理ツールを使っていると思います。
しかし中には自分で覚えて入力している人もいるかもしれません。
この記事はよぽどさんとしては (本当は2FAを使ってほしいけど) 最低限パスワード管理ツールを利用して、サイト毎に異なるランダム生成のパスワードを使用することを推奨します。という記事になります。

パスワードを自分で管理するという事

安全なパスワードがその人の頭の中だけにあるという状態はセキュリティ的には決して悪くはありません。
しかしそのようにして管理されるパスワードは人間が覚えられる物なので、以下のような特徴を持つ弱いパスワードである場合が多いです。

  • 短い(ブルートフォースアタックに弱い)
  • 英単語やローマ字といった意味のある文字列を含む(辞書攻撃に弱い)
  • 生年月日等他人が簡単に推測できる文字列を含む(特定の人物を狙った辞書攻撃に弱い)

そして強いパスワードであっても、そのような文字列を沢山覚えることは難しいのでついつい使いまわしてしまう事もあるでしょう。

  • パスワードを使いまわす(リスト攻撃に弱い)

つまり十分に長く(20文字程度で十分です)、ランダムで、サイトごとに異なるパスワードを使用する必要があります。
パスワードを覚えようとしてはいけません。

攻撃のイメージ

さて実際に他人のアカウントに不正にログインすることを試みる人はどのような事をするでしょうか。

misskeyはユーザーID=ログインIDであり攻撃者はパスワードを特定するだけでログインする事ができます。
またSNSであり誕生日等のデータも容易に収集することができるでしょう。
アカウント名をローマ字表記したものをパスワードに使っている人も多いかもしれません。
もしかしたらもっとシンプルにあなたの後ろからあなたの入力を盗み見ることもあるかもしれません、その場合でも弱いパスワードは読み取れなかった部分の推測が簡単です。
詳しくは説明しませんが、攻撃者はよく使われる単語や文字列のリストに自分が集めた情報を付け加え、自動的に考えうる様々な組み合わせでログインを試行します。

よく使われる単語や文字列(例えばabcや123,password)や生年月日の数字(ほんの数桁の数字です)の組み合わせは想像するよりずっと少なく、自動化された作業は人間の感覚よりずっと早い事を忘れないでください。

アカウントに不正にログインされるとどうなるのか

misskeyは本来的に公開ブログであり不正にログインされた場合でも被害は比較的少ないです。
しかしそれでも本来は公開されないメールアドレスやドライブの一覧、DMの内容等を第三者が見ることができてしまいます。
もし不正アクセスされたアカウントがモデレーター権限を持っていた場合、さらに他のアカウントのメールアドレスを見たり、パスワードをリセットして他人のアカウントにログインしたり、お知らせにフィッシングサイト等を掲載して誘導する事すら可能になります。
つまり不正ログインされてはいけません。

パスワード管理ツールの機能

パスワード管理ツールにでは一般的にIDとパスワードの組み合わせを記憶するだけでなく、十分に安全なパスワードを自動的に生成する機能や、パスワードを生体認証と組み合わせて安全に保管するといった機能が提供されています。
アカウントを作るときにランダムな文字列を考える必要もありませんし、サイト毎に異なるパスワードを覚える必要もありません。

例えばiphoneではOSレベルでパスワード管理ツールが実装されていて、iphone本体の顔認証や指紋認証と連携してロックが解除された場合にのみパスワードを閲覧したり自動で入力することができます。
この場合スマホ本体にアクセスできなおかつ生体認証の解除(か許可すればPIN入力)に成功した場合にのみパスワードにアクセスすることが可能となります。
ランダムな安全なパスワードを生成する機能もあります。

詳しい使い方はそれぞれOSやブラウザのヘルプを確認してください。

でもスマホが壊れてデータが消えちゃったらどうするの?

人間が覚えていないのでスマホが物理的に壊れてしまうとパスワードを失います。
このような場合はメールアドレスを登録してそちらから回復する、モデレーターに依頼してパスワードをリセットしてもらうといった対応が考えられます。
もしあなたがメールアドレスを持っていないなら、あまり推奨しませんが非常用にパスワードをメモしておくという手法もあります(もちろん他人に知られないようにしてください!)。
iphoneの場合はiCloudキーチェーンというクラウドにバックアップする機能もあります。

攻撃に気づこう

最後に、強いパスワードを使うということは、いわば入口のセキュリティです。
警戒するべきは入り口だけではないように、攻撃されて侵入された後の意識も大切です。

misskeyでは設定→セキュリティからログインに使われたIPアドレスの一覧を見ることができます。
IPアドレスは組織毎に割り当てが決められているので、IPアドレスを調べるとその人がどこから(ケータイ会社やISPとか)アクセスしたかを知ることができます(そのIPアドレスを雑にグーグル検索したらわかるでしょう)。

あなたの普段使っている回線を知っておきましょう。
ケータイならドコモやAU、固定回線ならIIJやOCNといったISPがあり、それぞれIPアドレスの範囲が決まっています。
もしあなたのログイン履歴に見慣れないIPアドレスがあり、それが自分の使っているケータイ会社やISPのものでなかった場合は、すぐにパスワードを変更して、設定→セキュリティ画面内のログイントークンを再生成ボタンを押してください。

まとめ

  • 覚えられるパスワードは使わない
  • パスワードを使いまわさない。
  • 侵入されたらすぐにパスワード変更&ログイントークン再生成

ここまでありがとうございました。
良いmisskeyライフを!

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment