GmailからHotmailへの移行を試したIT編集者、2週間で断念 61
ストーリー by headless
残念 部門より
残念 部門より
insiderman 曰く、
英国のPC誌、PC Proの編集者がメインのWebメールをGmailからHotmailに移行する実験を行ったが、2週間で断念したとのこと(PC Proの記事、 本家/.)。
最近ではHotmailのスパムが3%以下であることをMicrosoftのプロダクトマネージャーから聞かされたPC Proの編集者 Barry Collins氏は、Hotmailへの移行実験を行うことを決意した。メッセージの振り分け・並べ替えやSkyDriveとの統合といった新機能を試すという目的もあったという。しかし、実験を始めて2週間後、Collins氏のHotmailアカウントからスパムが送信されているという報告がTwitterで相次いだ。HotmailにログインしたCollins氏は、アカウントがハックされ、すべての連絡先に攻撃用サイトへのリンクを記載したスパムが送信されていることに気づいたという。実験を開始したときにGmailの連絡先をインポートし、Facebook、LinkedInの連絡先とも連動させていたことから被害が大きくなったそうだ。
もうHotmailは信用できないというCollins氏だが、WebメールだけでなくXboxやWindows 8のログインにWindows Live IDを使用する点も不安に感じているという。なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。
酷い偏重記事なんだが (スコア:5, すばらしい洞察)
よく叩かれてるマスコミのイメージ操作をもっと幼稚に露骨に行ったようなタレコミなんだが、いったい何を意図して取り上げたの?
Re:酷い偏重記事なんだが (スコア:1)
メールアカウントとSNSを連携させることの,
危険性について注意喚起しているんじゃないかな?
GmailとHotmailを比較する意味はそれほどないと思うけど,
(というよりどちらも改善のペースが早いからどの時点で比較したのか,が争点になりそう)
いろいろなサービスとの連携を推進しているHotmailの姿勢は,
ユーザーにとって警戒しなきゃいけないのかな,と.
実験を開始したときにGmailの連絡先をインポートし、Facebook、LinkedInの連絡先とも連動させていたことから被害が大きくなったそうだ。
とも書いてあるしね.
Re: (スコア:0)
①「Hotmailは駄目だ!」という捏造に近い偏向記事を掲載する
②この記事が他の大手ニュースサイト等に転載される
③ニュースサイトでこの記事を見た多くの素人に「あーやっぱりHotmailよりG-mailがいいんだ」と思わせる
Re: (スコア:0)
タイミング的にちょっと怪しいよね。
ま、提灯記事という言葉があるぐらいだから、ライターがステマ要員の可能性はちょっとぐらい考慮に入れるべきだな。
Re: (スコア:0)
スラドに偏向記事はつきものでしょ
特にAppleやGoogleに対する提灯記事はとても多い
Re: (スコア:0)
「おもしろおかしい」を貰いたかったのかも。
Re: (スコア:0)
とコメントまで準備することで、「実際にあったHotmailへの移行失敗」という「事実」を、「酷い偏重記事」であることに先にしてしまおうという意図なんですね。
あたしゃ英語読む気もないし、リンク先も見てないけど、ここで「意図」を論ずる事が、「何とかしてこの記事をなかったコトにしたい」という意図が透けて見えますね。
って、これくらいひねくれておけばおけ?
Re:酷い偏重記事なんだが (スコア:1)
Gmailで暗号化メールを扱えばいいのでは.
Thunderbird等のメーラーを使えばpgpを利用できるプラグインがありますよ
タイトル間違ってません? (スコア:4, すばらしい洞察)
そもそも取り上げる必要あるの?
Re:タイトル間違ってません? (スコア:1)
じゃ厳格に安全なパスワード以外は弾くようにすればいいかというと、既存のユーザーへの対応を考えると難しいのかも。1日の送信量規制などはちゃんとしているので、大量発信型のスバマーには対処できてるんでしょうが、この手の標的型のスバマーへの対応は難しいですね。
濁点間違ってません?(ageashi/only) (スコア:0)
すっ……すは゛‽
Re: (スコア:0)
スバマー=スティーブバルマー
弱いパスワード (スコア:2)
一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。
それなら辞書攻撃で現実的に破られるラインだ。
かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。
Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。
Re:弱いパスワード (スコア:3)
日本語のサイトで確認すると、制限は6文字以上くらいしかないようだけど、ちゃんと
安全性の高いパスワードとは、7 ~ 16 文字で、一般的な名前や言葉を含まず、大文字、小文字、数字、および記号を組み合わせたものです。
などと注意書きがあるね。それに専門誌の編集者でもあるんだから、予備知識もあるわけだし、パスワードについては非難されても致し方ない。
パスワードがクラックされたか否かは判らないけど。
訂正: ×一般名詞 ○固有名詞 (スコア:1)
訂正: ×一般名詞 ○固有名詞
Re:弱いパスワード (スコア:1)
固有名詞とかどこに書いてある?
それと、同じパスワードがGmailで破られずにHotmailで破られるんだったら、Hotmailは容易に辞書攻撃ができるってことになるね。
スラドのアカウントですらそんなに簡単にはハックされてない気がするんだけど、Hotmailってそんなに危険なの?
Re:弱いパスワード (スコア:1)
/.J のアカウントにはハックするほどの価値が無いと思う。
Re: (スコア:0)
Re:弱いパスワード (スコア:1, 参考になる)
てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?
連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。
それじゃあ危険だなあ。
ちなみに、
>それなら辞書攻撃で現実的に破られるラインだ。
この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?
それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。
Re:弱いパスワード (スコア:2)
Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。
攻撃者は仕様の穴を突いてくる。
パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。
十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。
試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。
制限に抜け穴があれば容易に突破されるということを意味するからだ。
そして完全なシステムは存在しない。
その昔、原始的な Web システムは無制限にログインの試行を許していた。
そのうち総当たりでアカウントを奪取しようとする攻撃者が現れた。
対策として試行回数の累積でアカウントのロックアップを行うようになり、
今度はサービス拒否攻撃が発見された。
接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたが
botnet の存在がそれを覆した。
それでも強固なパスワードがアカウント奪取を防ぐ効果は変わっていない。
回避策がみつかるたびに心配を増やすくらいなら、最初から本質的な対策をとればいい。
Re: (スコア:0, すばらしい洞察)
なんだかまたMS信者がだんだんオカルトにハマって行くなあ。セキュリティに関してMSは悪くない、と言い張るために話をそらしたり、ユーザーに謂れの無いケチばかりつけたり、大変だね。
要するに、今回の話はHotmailのシステムには(パスワードの強弱とは関係無い)脆弱製が存在する、というだけの話だと思うんだけど。
いくらパスワードが強固でも、今回の問題とは全然関係ないと思うよ。
ところで、あなたが考える「本質的な対策」ってのも興味があるので教えて。
メールサーバへのパスワードが(今現在のネットワーク環境で)十分に強固、ってのがどれくらいなのか。
サーバの応答速度、試行回数、主要なサービスの(普通は当然対策が取られていると思われる)辞書攻撃に対して無防備なサービスの割合(そしてHotmailは本当に完全無防備なのか)、実際にクラックされた事例なども考慮した「事実に基づく」意見をお願いしますね。
Re:弱いパスワード (スコア:3, 参考になる)
自覚がないようだから、よく読んでほしい。
セキュリティに関しては「これがあるから大丈夫」ではなくて
「これが破られたらどんな影響が出るか」という考え方をするべきだ。
Hotmail にパスワードにまつわる脆弱性があると仮定しよう。
だからといって弱いパスワードを使ってかまわない理由にはならない。
その未知の脆弱性は強制的にパスワードをリセットするものかもしれない。
試行回数制限を回避するものかもしれない。
前者についてはエンドユーザにできることは何もないが、後者は強いパスワードを
使うことで防止できる。
同様に、パスワードの安全性に関しても
現在の Hotmail にフォーカスして見積もろうとするのが間違いだ。
Hotmail のサービス担当者がやることであって、エンドユーザが見様見真似で行なっても益がない。
本質的な対策の一つは、良いパスワードを使うこと。
良いパスワードの作り方はいくつか言われている。
JPCERT/CC [jpcert.or.jp]
US-CERT [us-cert.gov]
マイクロソフト [microsoft.com]
パスワードには、以下の単語を使用しないでください。
Re: (スコア:0)
>この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?
fl さんの文面からどうすればそう解釈できるのか疑問。
Re: (スコア:0)
>なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。
Hotmailが今日してるのも確かにアレだけど、こんな編集者のPC雑誌、大丈夫なのか?
Re:弱いパスワード (スコア:2, 興味深い)
パスワードが"collins"の七文字だった、に一票。
Re:弱いパスワード (スコア:1)
略語+固有名詞の小文字七文字なので、元blogでは"pcbarry"が有力視されています。ネタ的に。
# この人は、Barry Coliinsさん
Re:弱いパスワード (スコア:1)
本誌記者もたまらず昇天!?っていうヤツじゃないっすかね。
PC誌の編集者のパスワードはもっと響子にしろとか、そのあたりのことを自分の体で確かめたとかそういうノリで。
Re: (スコア:0)
響子さんすきじゃーーーーーーーーーーーーー!!!!
Re: (スコア:0)
響子を体で確かめたとか、一体何の話・・・
Re: (スコア:0)
つまり、朱美だったのね。
Re: (スコア:0)
そもそもパスワードって認証として弱いだろう。
パスワードが強度なんて幻想だよ。
Re: (スコア:0)
パスつきZIPのクラックでもするんか
Hotmailは一定回数失敗するとアカウントがロックされるので総当たり攻撃で破るのはムリゲー
Re: (スコア:0)
> Hotmailは一定回数失敗するとアカウントがロックされる
アカウントを知っててパスワードを知らない場合、意図的にアカウントをロックさせるという嫌がらせが行えるのでしょうか?
銀行ATMでキャッシュカードが必要とかならわかるんだけど。
Re:弱いパスワード (スコア:1)
アカウント自体が凍結されるわけではなく、サインイン時にCAPCHA認証を求められるようになります。
ですから正しいパスワードを知っている人ならばサインインできます。
(まあCAPCHAの入力を求められるの自体がいやがらせではありますが)
また、Webページからのサインインがそうなっていても、Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。
Re: (スコア:0)
それじゃ、効果が疑問視されているCAPCHAの強度が、総当り攻撃を防ぐ防衛線になってるのか?
CAPCHAなんて、おまじない程度に考えておいた方が良いだろうに・・・数学的に強度を証明できるような物では無いので、何かのはずみで無意味と化す可能性がある。
Re: (スコア:0)
CAPHCHA20回失敗とかでとりあえずドアを閉めれば、何かのはずみってのは回避できるのでは?
(最近、普通にCAPCHAが読めないのが苦痛。)
Re: (スコア:0)
>Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。
それだと、Live Messengerの互換クライアントからだと総当たりし放題ってことにならないだろうか。
オープンソースな実装も1つ2つじゃあるまいに。
#実際のところは知らないから補足plz
7文字は弱い? (スコア:2, すばらしい洞察)
パスワードに小文字7しか使わなかったのが悪い、と当たり前のように決めつけてる人が多いんだけど、ネットワーク越しのサーバへのパスワードで小文字7文字ってそんなに弱いですかね?
元記事では辞書に使われている文字とは書いていないので、総当たりで認証する必要があるとすると、組み合わせは80億を超える。
Hotmailのサーバが大バカで総当たり攻撃に対して何の対策も講じていないとして、仮に一秒あたり10回の認証を受け付けたとしても、全部の組み合わせを試すには9300日かかる。
誰だか知らない一人のユーザーのIDをクラックするのに25年もかけるクラッカーもいないと思うんだけど、どうでしょうね。
Re:7文字は弱い? (スコア:1)
私も同じ事思いました。
破られた原因は7文字という文字数じゃなくて、推測されやすい文字列だったんじゃないんですかね。
Hotmailのシステムがクラックされていないという前提ですが。
Re:7文字は弱い? (スコア:1)
Re:7文字は弱い? (スコア:1)
いいえ、記事やリンク先をよく読みましょう。
本家の下記コメントやそれへのコメントが、わかりやすいと思います。
http://it.slashdot.org/comments.pl?sid=2815459&cid=39821609 [slashdot.org]
Re: (スコア:0)
>いいえ、記事やリンク先をよく読みましょう。
>本家の下記コメントやそれへのコメントが、わかりやすいと思います。
何がいいえで、何がわかりやすいのかさっぱりわからないんだけど。
リンク先の文章は完全な憶測で、クラッカーがHotmailの脆弱性を利用してパスワードを変更した後にたまたま古いパスワードが書かれたメールを見つけて、それに戻したんじゃないかと言ってるだけ。
Re: (スコア:0)
#2144547のMS信者がミスリードに誘いたい様ですね。
Re: (スコア:0)
何がいいえなのかは一目瞭然だと思うんだけど
親コメントの結論否定以外の何に見えるんだ?
Re: (スコア:0)
>親コメントの結論否定以外の何に見えるんだ?
ちょっとは英文を読んでから話に参加しような。
親コメントの結論否定以外の何に見えるかと言うと、親コメントの結論肯定に見えるんだよ。
リンク先のコメントは、Hotmailのバグを利用してクラックした、と言ってるんだから。
ただし、その場合クラックした後のパスワードが元のパスワードから変わるはずで、このトピックの元ネタの編集者はそれに触れていないことから、クラッカーがどうやって元のパスワードに戻したのか、偶然か、それとも何かの処置を施したのか...って話をしてるんだよ。
ずばり、そのパスワードは (スコア:2)
過去の経験上 (スコア:0)
困っていないときは、環境を弄らない事かな。
とはいえ、先駆者がいない限り改善もないわけで。
googleが抜かれた時は、世界中で阿鼻叫喚なんだろうな。
Re: (スコア:0)
Gmailの自分のアカウント、クラックされましたよ。自分のアカウントから、数通スパムを送信されました。
その時は自分のだけだったから、パスワードを破られたんだろうけど(実はサボって弱いパスワードを使っていた)。
その後、20桁、記号含みの複雑化、二段階認証を導入してます。
まあ、同じ事は、FacebookやTwitterみたいな、メッセージ送信システムがあれば、いつか起きるんでしょう。
Re: (スコア:0)
Gmailも何度もやられたってニュースは過去に何度もあったけど
特に有名人のアカウントが盗まれる事件は多いよね.
まぁ弱いパスワードを使っていれば、どのシステムでも一緒でしょ
ただAndroidも使っていれば、さらに酷いことになる可能性も高いけど。
メール移行を記事にしたから (スコア:0)
それがきっかけで攻撃されるようになったんでしょ