2020年9月12日

【ドコモ口座】4ケタパスワードの分布と傾向

まとめました
98
ACTIVE GALACTIC @active_galactic

悪巧みをする人間は賢いな.確かに口座番号・暗証番号・氏名の組み合わせは工夫すれば手に入ってしまう.口座番号を入力すると振込先の宛名を表示してくれるサービスはあるし,語呂合わせのような使っている人が多い暗証番号で口座番号を片っ端から試していくと,一定確率で貫通するだろう.>RT

2020-09-09 20:45:35
ACTIVE GALACTIC @active_galactic

リバースブルートフォースアタック:物理学科のロッカーで暗証番号を137決め打ちで片っ端から試して,貫通したロッカーから貴重品を盗む泥棒を想像した.数学科なら1729とかだろうか

2020-09-09 20:49:28
ACTIVE GALACTIC @active_galactic

口座あたりの暗証番号の試行は1回なので,3回間違えたらロック等の制約も受けない.よく考えている.

2020-09-09 21:00:04
ACTIVE GALACTIC @active_galactic

報道されているところのNTTドコモによる再発防止策「携帯電話の番号を入力してもらい,その番号にショートメールで番号を送る」は,足はつきやすくはなるだろうけど,その電話番号が本人のものであるとは言えないので一見すると解決になっていないようにみえる.(本当にそう言ったのだろうか)

2020-09-09 21:21:53
ACTIVE GALACTIC @active_galactic

ちゃんと準備された攻撃は,アクセス元は毎回変わるだろうし,攻撃をうける口座番号はランダムで,暗証番号も使われる頻度分布で重みをつけて毎回ランダムに選ばれたら番号で検知することも難しい.長い歳月をかけてじっくりとスキャンされるとアクセス量からの検知も難しい.

2020-09-10 09:10:59
ACTIVE GALACTIC @active_galactic

RockYouから流出した4桁暗証番号の分布をみていると,月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だ(1234を4.3%が使っているというあまりの緩さはさておく). リバースブルートフォース攻撃における重点目標 pic.twitter.com/Ktw8NcqSlp

2020-09-12 08:17:22
拡大
たこみぱん @koteitan

暗証番号分布。まず目につくのは xxyy 系。さすがに xxxx は簡単すぎると思うのか意外と薄い。6969 がなぜか大きい。ちょっとずれてるところに濃い点があるけどなんだろ、とおもったら5150。これヴァン・ヘイレンだろ。 pic.twitter.com/Ks96Tece7W

2020-09-12 13:37:43
拡大
たこみぱん @koteitan

19xx~201x の縦線は生年ですね。 0101~1231までが濃いのは誕生日。その転置も濃い。31日が薄いのが笑える。 01yy~12yy と yy01~yy12 が若干濃いのは誕生月年と誕生年月かな。 pic.twitter.com/0Yj3GPfLOC

2020-09-12 13:54:44
拡大
たこみぱん @koteitan

xxyyじゃなくてxyxyでした

2020-09-12 14:16:03
たこみぱん @koteitan

ピンポイント系。 1234, 2345, 3456, ...等ストレート系は濃い。4321も濃い。 2468は偶数。ほか、ヴァンヘイレン 5150 以外のピンポイントはよく分からなかった。各国の映画、ドラマ、音楽とかなんかあるのかな。 pic.twitter.com/YbHdBU26kP

2020-09-12 14:18:51
拡大
たこみぱん @koteitan

星雲系。xx80~xx00 は生年下2桁でしょうか。 xx77とxx69が多いのはなんだろう。 25xxが多いのもよく分からない。53まででぴったり終わってる。 あと右下に斜めの (xx+82)xx 星雲があるのはなんなんだろう。 pic.twitter.com/EF9IX1C3XS

2020-09-12 14:37:00
拡大
たこみぱん @koteitan

ボイド系。x0yz に結構強い周期性ボイド。これ、最初なんで?と思ったんだけど、おそらく0が有効な数字として使えないと思って排除しているのではないかと思う。 xy00~xy65 くらいまでは、yが1~5, 6~0 の間に濃淡が見える。なんでだ。 pic.twitter.com/NRU3c00wke

2020-09-12 14:41:16
拡大
こーのいけ @ko_noike

@koteitan 2580,8520,7410はテンキー縦一列ですね。6656,5687はxxxx、連番をちょっとひねっただけかと あと、そこは6656じゃなく5666では?

2020-09-12 15:07:44
たこみぱん @koteitan

19xx~201x の縦線は生年ですね。 0101~1231までが濃いのは誕生日。その転置も濃い。31日が薄いのが笑える。 01yy~12yy と yy01~yy12 が若干濃いのは誕生月年と誕生年月かな。 pic.twitter.com/0Yj3GPfLOC

2020-09-12 13:54:44
拡大
たこみぱん @koteitan

ピンポイント系。 1234, 2345, 3456, ...等ストレート系は濃い。4321も濃い。 2468は偶数。ほか、ヴァンヘイレン 5150 以外のピンポイントはよく分からなかった。各国の映画、ドラマ、音楽とかなんかあるのかなpic.twitter.com/YbHdBU26kP

2020-09-12 14:18:51
拡大
たこみぱん @koteitan

星雲系。xx80~xx00 は生年下2桁でしょうか。 xx77とxx69が多いのはなんだろう。 25xxが多いのもよく分からない。53まででぴったり終わってる。 あと右下に斜めの (xx+82)xx 星雲があるのはなんなんだろう。 pic.twitter.com/EF9IX1C3XS

2020-09-12 14:37:00
拡大
たこみぱん @koteitan

ボイド系。x0yz に結構強い周期性ボイド。これ、最初なんで?と思ったんだけど、おそらく0が有効な数字として使えないと思って排除しているのではないかと思う。 xy00~xy65 くらいまでは、yが1~5, 6~0 の間に濃淡が見える。なんでだ。 pic.twitter.com/NRU3c00wke

2020-09-12 14:41:16
拡大
たこみぱん @koteitan

25xx星雲の謎が分からない。結構目立つのに。誰か教えて下さい。

2020-09-12 15:14:19
たこみぱん @koteitan

25xx は仏暦星雲でした。 (xx+82)xx 星雲はなんでしょう。 斜めなので不思議なんですけど。

2020-09-12 18:46:44
たこみぱん @koteitan

ちょっと面白いなと思うのは、誕生日エリアの濃さが平坦でばらつきが少なく見えること。 誕生日を使ってしまう愚かさは人工的なものだけど、「その人間が生まれてしまう日」というものは非常に人為が排除され、機械的で、一様なんだなぁと。皮肉的にも。

2020-09-12 23:07:39
たこみぱん @koteitan

続々と情報が集まってきて、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語らしいです。確かにちょっと濃いですね。 pic.twitter.com/mxdSZZW6zK

2020-09-13 00:52:34
拡大
たこみぱん @koteitan

ピンポイント系で分からないのを書いてみた。 ・緑=言及済み ・黄=キーパッドかな? ・赤=不明 赤色の意味が分かりません。なんでしょうね? pic.twitter.com/KidjUB39Kg

2020-09-13 01:30:16
拡大

コメント

shuich kimura @NEOura36 2020年9月12日
みんなもうちょっと考えて暗証番号決めませんか?
4
kavipan @kavipann 2020年9月12日
そもそも今どき4桁ってどーよ
18
yuki🌾㊗️6さい🎉⚔ @yuki_obana 2020年9月12日
もうあらゆる4桁廃止してくれ(´・ω・`)
3
いくら @YamadaIkra 2020年9月12日
1234,生年,誕生日の3回トライで10%取れそうな感じだなあ。
7
RAIYA@提督 @RAIYASB 2020年9月12日
RBF攻撃の的中率考えるに、今回のは実行されたのか悩ましいな 銀行のコメント待つしかないのか?
1
gx9900 @GX9900GUMDAMX 2020年9月12日
RAIYASB ドコモ口座のログを警察が調査とかでわかるんじゃね。各銀行に分散攻撃してると銀行側から把握するのは難しそう。
2
マシン語P @mashingoP 2020年9月12日
台湾で銀行口座を開いたら暗証番号が6桁。無論自由に変えられるんだけど習慣づいてないので忘れそうな予感がし、結局デフォルトのままで下ろす前に通知書類を都度確認して使っていた。暗証番号の桁を増やすなら8桁にして電話番号のように4+4で覚えるのが浸透しやすいと思う。
4
でき🌂 @dekijp 2020年9月12日
NEOura36 ちょっと考えたところで4桁ではなぁ…
4
魔宵蛾(休眠中 @mayoiga 2020年9月12日
物理あっての4ケタだからなぁ… 年寄りが覚えてられて3アウト回避できそうな数字がたいてい4ケタで、もう自分にストライクな4ケタじゃなければ合格にしてあげていいかなって…
16
じ〜げん〜 @jigen357mgnm 2020年9月12日
初めて銀行カード持つ時から意識高かったオレは、誕生日がらみの数字は絶対イカンと思って、当時一番好きだった漫画のタイトルをもじった数字にしたので、ソコソコ強い暗証番号なんやでw
0
もんすーん @monsoon_at 2020年9月12日
8桁にしたとして、数字が覚えられない人は指紋とか光彩とか別の認証方法にするしかないか?
2
佐渡災炎 @sadscient 2020年9月13日
この分布そのものはドコモ口座関係無いやん。
1
乾也春海 @kanbaru 2020年9月13日
長さや複雑さよりも何と紐づけするかを考えた方が、セキュリティ的には数段良くなるのかなと。
0
bluemonkshood @bluemonkshood 2020年9月13日
そもそも、ATMの4桁の暗証番号がなんで有効かっていうと、キャッシュカードという物理的なものを持っているからである。キャッシュカードなしの3桁の暗証番号なんて、ないに等しい。
8
kumonopanya @kumonopanya 2020年9月13日
6桁以上だと確実に何回か入力ミスする自信がある。
2
Ikunao Sugiyama @Dursan 2020年9月13日
人間の短期記憶は7桁が限界(と言う昔発見された知見
1
不具合さん @tunagaranaisup 2020年9月13日
学生時代の友人の携帯番号使ってるけど結局4桁の暗証番号の強度なんてあってないようなもんだしなぁ
1
ロセ @Cerro0405 2020年9月13日
和歌の三十一文字をパスワードにできるようにすべき。自分で詠んだ和歌なら覚えられるだろうし
1
human @10nintoiro_ 2020年9月13日
いやパスワードの桁数とか関係ないから。二段階認証のイロハくらい知っとけ。
0
茨 二科 @ibaranika 2020年9月13日
今は使ってないけど、以前は2015をよく4桁パスに使ってた。旧エヴァが2015年だったからね…
0
gx9900 @GX9900GUMDAMX 2020年9月13日
誕生日使ってると365通りしかないので、3桁以下のセキュリティなんだよね。
6
kotaro @kotaro_wizard 2020年9月13日
無智な人多いけど、既にパスワードは文字列の長さでセキュリティは担保出来なくなってる。 8ケタあっても厳しい。特に数字だけでなんとかしたいなら、ざっと考えても64ケタは必要だろう。 (それでも甘いかもしれない。) だから、桁数は既に関係はあまりない(これからもっとコンピュータの性能が上がれば、1024ケタでも1日で突破されるかもしれない)ので、最低二段階、一番理想的な二要素認証が必要になってるんだよ。
8
mono @black_mono 2020年9月13日
リバースブルートフォース、パスワードを何桁にしようが簡単なパスワード設定してる人は確実に現れるのである種「回避不可能」な攻撃。そもそもパスワードだけの単要素認証であることが問題なので、今はワンタイムパスワードを利用して「事前に指定した端末を持っているか」という要素を認証に加えるのが定石なのだが……
3
RAM (衝角モード) @PLAPAPA 2020年9月13日
kotaro_wizard 某〇天銀行のログイン時、秘密の質問で「生まれたところ」を訊かれ、都道府県からか、市からか区からかを思い出せず、病院名を入力して跳ねられました。何度か手続きをし直して、今は答えられる質問だけになりましたが、そろそろアルツを気にかけなければいけない年齢、あれは少々問題です。
1
ミサイルマン @yonepo665 2020年9月13日
まとめを更新しました。 ※@koteitanさんのツイート(2020/9/12 14:18:51以降)を追加しました
1
💎こていたん💎 @koteitan 2020年9月13日
そもそも銀行の暗証番号は普通はこんな攻撃の仕方をされるようなものではなかったはずだよね。。
4
しゅら @syurash 2020年9月13日
kotaro_wizard 一応、数字だけでも32桁あれば10000+ 世紀かかるんですが、どんなスパコンつかってるんですか?
3
佐渡災炎 @sadscient 2020年9月14日
kotaro_wizard 数字だけ64桁は覚えられないけど64文字以上になる単語の組み合わせは覚えられる上に強度も確保できる。数字だけで桁数増やすとかいうありえない想定をすること自体がおかしい。無知なのはお前の方では。
1
zoh @Neutrino_shower 2020年9月14日
これ、日本国内だけで調べたら語呂合わせしやすい4桁が浮かんできそうだな。「4649=よろしく」とか。
1
kotaro @kotaro_wizard 2020年9月14日
何か変なコメント多いね、うちが言ったことを曲解して叩いてるけど、よく読んだほうがいいよ…… 数字云々は銀行の暗証番号だからだし、それ以前に文字列なら「8ケタ」でも怪しいんだよ。 それ以上の桁数は人間の頭が覚えるには工夫が必要になる、ということはランダム文字列じゃないんだよ。そういう単語は辞書攻撃されるから、別のセキュリティ問題になるし、この話から少しずれる。 ここ文字制限あるから敢えて一言で言ってないだけ。
2
kotaro @kotaro_wizard 2020年9月14日
スパコン云々はコンピュータ1台での計算量の問題であって、やや劣るにしてもボットネットによるクラウドで分散処理させてしまえば、突破できる。これはビットコインのマイニングと同じ。 ここ文字制限あるから敢えて一言で言ってないだけ。
0
砂糖のせる @SugarOn 2020年9月14日
ふっかつのじゅもんの方が強固という事実
0
BugbearR @BugbearR 2020年9月15日
分散処理で突破って、アタックする対象のことを忘れているような… ファイル対象なら分散処理が効くと思いますが、サイトに対してだとDoS攻撃扱いで、その前にサイトが死ぬか弾かれるかになるかと。
0
RAIYA@提督 @RAIYASB 2020年9月15日
BugbearR 今回のドコモ口座の場合、ドコモ、Web口振り受付サービス、銀行の3箇所に攻撃することになるからねぇ、現状どのサービス関係からもDDOS攻撃やRBFA攻撃の話が出て来ないし
0
しゃけ @shakeflake1223 2020年10月5日
そもそも銀行自体キャッシュカードと暗証番号での認証だからこそのこの簡便さなんだよね。カード要らずに攻撃できるから弱いけど普通に考えたらかなり強いよ
0
しゃけ @shakeflake1223 2020年10月5日
カードとのセットで担保されていたセキュリティを片方外せばそりゃザルになりますよ。それに桁数増やしても覚えられない人が出てくるうえ強度も対して変わらないから無意味。物理キーのカードをスキミングされカメラで撮られたらどんなパスワードも無意味だしね?
0
佐渡災炎 @sadscient 2021年5月23日
kotaro_wizard 銀行の暗証番号はパスワードではなく、物理キー(カード)をアクティベートするPINなので最初っから間違ってる。
0
佐渡災炎 @sadscient 2021年5月23日
kotaro_wizard 複数の(8文字以上の単語なら3つ程度でも)単語を組み合わせれば辞書攻撃に対しても充分な強度があることはすでに分かっている。
0