16文字以内で最強のパスワードを考えてみた!!→とんでもない罠が見つかり、最弱のパスワードとなってしまうwww

  • follow us in feedly
最強 パスワード 最弱 SQL CSV DB 総当たり防止に関連した画像-01

■Twitteより



ここが凄い!
・エクスポート時の流失防止機能
SQL→ ';--によるDB破壊
CSV→ \t\n,によるファイル破壊
コマンド→ |による構文破壊
・総当たり防止機能
2byte文字や特殊文字を混在

ここがダメ!
・Twitterで公開してしまった


<ネットの反応>

なお、このパスワードを使おうとすると、
そのシステムも破壊してしまう模様


つまりこの文字列を入れ替えたり色々付け足したりすればいいのか

誰かわかりやすく解説してクレメンス

↑各種パスワードを扱いそうな機能でプログラマー初心者が生みがちなセキュリティ脆弱性を突いたものです。
ちゃんとしてるシステムならこんなんで破壊なんてされないので、これで破壊されるようならパスワードを預けるのにふさわしくないシステムだったということ…あたりが意図だと思います。


今使っているパスワードの後ろに付けようず

パスワードは半角英数記号で入力して下さいとか言われる可能性

Twitterで公開してしまった!



知ってたwww
そりゃいくらセキュリティ的な対策をしてもバレたら意味ないおwww
やる夫 爆笑 バンバン



リプライにもあるけど、この文字列を今のパスワードに組み込んだらバッチリそうだな
覚えるの大変そうだけど
やらない夫 カウンター 笑顔

アラフォー男の異世界通販生活 6巻 (デジタル版Gファンタジーコミックス)

発売日:2023-04-27
メーカー:
価格:730
カテゴリ:Digital Ebook Purchas
セールスランク:
Amazon.co.jp で詳細を見る


デッドマウント・デスプレイ 11巻通常版 (デジタル版ヤングガンガンコミックス)

発売日:2023-04-25
メーカー:
価格:730
カテゴリ:Digital Ebook Purchas
セールスランク:
Amazon.co.jp で詳細を見る




今週の人気記事

その他おすすめサイト

COMMENT

コメントする

・NGワードはライブドア基準です。
・スパム対策で「http://〜」はコメントできません。
・住所や電話番号等の個人情報は書込みしないでください。
・特定個人や特定団体を酷く誹謗・中傷するようなコメントは控えて下さい。
・ブログの運営を著しく妨害するようなコメントについては法的措置も検討しておりますのでご理解の上コメントをお願い致します。
名前
コメント

この記事へのコメント

  • 1  名前: 名無しオレ的ゲーム速報さん 返信する
  • 2  名前: マッスルウィザード 返信する
    >>1


    魔法使いと黒猫のウィズ
  • 3  名前: 名無しオレ的ゲーム速報さん 返信する
    プレーリードッグはブサイクスギィ(16文字)
  • 4  名前: リチャードソンジリス 返信する
    プレーリードッグ可愛スギィ(≧Д≦)
  • 5  名前: 名無しオレ的ゲーム速報さん 返信する
    覚えられんわw
  • 6  名前: 名無しオレ的ゲーム速報さん 返信する
    >>2
    I am a student living in Germany.
    Dokdo is a clear the territory of the Republic of Korea.🇩🇪🇩🇪👍
  • 7  名前: 名無しオレ的ゲーム速報さん 返信する
    (これは脆弱なサービスに対するテストにはなるけど、第三者の総当たり攻撃に対して特別強いわけではないだろ…)
  • 8  名前: リチャードソンジリス 返信する
    >>3
    ひどスギィ(≧Д≦)
  • 9  名前: 名無しオレ的ゲーム速報さん 返信する
    未だにパスワード平文で保管してるようなサービスなんてないよな?な?
  • 10  名前: 名無しオレ的ゲーム速報さん 返信する
    >>4
    プレーリードッグはツイッターかインスタグラムやってないの?
  • 11  名前: ChatGPT 返信する
    >>4
    プレーリードッグは本当に可愛いですね!彼らの小さな体とふわふわの尾、大きな目が特徴的で、見ているだけで癒されます。また、彼らの社交性やコミュニケーションの手段としての音声も面白く、魅力的です。草原の風景とともに彼らを見ると、自然との共存が感じられます。プレーリードッグは地球上で大切な存在であり、私たちは彼らを保護し、大切にすべき生き物です。
  • 12  名前: 名無しオレ的ゲーム速報さん 返信する
    ほとんどの場合、使える記号限られてるし、大文字小文字混ぜてくださいと言われる
    全く使えないゴミパスワード考えて何が嬉しいのやら
  • 13  名前: 名無しオレ的ゲーム速報さん 返信する
    大体のパスが半角英数字指定やろ
  • 14  名前: 名無しオレ的ゲーム速報さん 返信する
    >>4
    プレーリードッグはカリッカリに炒めて塩胡椒!これが最強の食べ方!
  • 15  名前: 名無しオレ的ゲーム速報さん 返信する
    使えない文字が含まれてますよ
  • 16  名前: 名無しオレ的ゲーム速報さん 返信する
    一文字づつ前後に振り分けていく手もある
    たとえば楽天であればr a k u t e n をそれぞれ前と後ろに振っていき
    rktneua とする

    これだけだと分かるので、ケツにサービス名を入れて
    rktneua@rakuten

    こんなんでもパスワードチェックの評価は高くなる
  • 17  名前: 名無しオレ的ゲーム速報さん 返信する
    同じ文字、数字、記号は使えません
    文字数が足りません(16文字以上)
    前回と同じ文字列が含まれています(4回前まで記憶)
    連続した文字、数字、記号が含まれています
    文字数字記号をそれぞれ1文字以上含んでください
    単語は使用禁止です
    30日毎に変更しなければなりません

    パスワードを忘れたという問い合わせの嵐で今は簡素化されたな
  • 18  名前: 名無しオレ的ゲーム速報さん 返信する
    つまんね
  • 19  名前: 名無しオレ的ゲーム速報さん 返信する
    >>4
    8文字以上、16文字以上で返信しなさい

    「意味不明スギィ」は7文字なので足りません
    「(≧Д≦)」は文字数に含まないものとします
  • 20  名前: 名無しオレ的ゲーム速報さん 返信する
    >>4
    今日のお昼は?
    カップ麺以外で答えなさい
  • 21  名前: リチャードソンジリス 返信する
    >>10
    意味不明スギィ(≧Д≦)
    やってなさスギィ(≧Д≦)
  • 22  名前: リチャードソンジリス 返信する
    >>11
    優しスギィ(≧Д≦)
  • 23  名前: リチャードソンジリス 返信する
    >>14
    ひどスギィ(≧Д≦)
  • 24  名前: リチャードソンジリス 返信する
    >>19
    意味不明スギィ(≧Д≦)
  • 25  名前: リチャードソンジリス 返信する
    >>20
    意味不明スギィ(≧Д≦)
    カップ麺スギィ(≧Д≦)
  • 26  名前: 名無しオレ的ゲーム速報さん 返信する
    パスワードに記号を入れる奴は素人
    記号を入れると困ることがたまにあるから
    玄人は入れない
  • 27  名前: マッスルウィザード 返信する
    >>6


    うるせえ!消えろ死ね!
  • 28  名前: 名無しオレ的ゲーム速報さん 返信する
    >>26
    パスワードに記号を含まないといけないサービスもあるから困る
  • 29  名前: 名無しオレ的ゲーム速報さん 返信する
    >>4
    この間鍋にしたよ😃
  • 30  名前: 返信する
    ���Υ����ȤϺ���ޤ�����
  • 31  名前: 名無しオレ的ゲーム速報さん 返信する
    素直に日本語文章をローマ字に変換するだけでいいぞ
  • 32  名前: 名無しオレ的ゲーム速報さん 返信する
    >パスワードは半角英数記号で入力して下さいとか言われる可能性

    このリプを引用して記事にするってことは、
    記事書いた奴も意味わかってないんだろうなw
    JINがライブ配信でライターの質の低下を嘆くわけだわw
  • 33  名前: 名無しオレ的ゲーム速報さん 返信する
    システムテストには使えそうだな
  • 34  名前: 名無しオレ的ゲーム速報さん 返信する
    詐欺グループがSQLとかcsvとかで流出パスワードを管理してるなら
    このパワードで管理ファイルをかき乱せるってこと?
  • 35  名前: 名無しオレ的ゲーム速報さん 返信する
    使用できない記号が含まれています、のエラーが返ってきて終わりな気が
  • 36  名前: リチャードソンジリス 返信する
    >>29
    意味不明スギィ(≧Д≦)
  • 37  名前: 名無しオレ的ゲーム速報さん 返信する
    >なお、このパスワードを使おうとすると、
    >そのシステムも破壊してしまう模様
    これを普通にパスワードとして設定したり
    ログイン時に入力したりするだけで破壊されるシステムなら
    どっちみち改修が必要だからむしろ脆弱性テストに役立ったと考えるべき。
  • 38  名前: 名無しオレ的ゲーム速報さん 返信する
    SQLインジェクションとか何十年前よ…
  • 39  名前: 名無しオレ的ゲーム速報さん 返信する
    言うほどパスワード覚える必要ある?
    毎回再発行でよくない?
  • 40  名前: 名無しオレ的ゲーム速報さん 返信する
    >>2
    死ね偽物
  • 41  名前: 名無しオレ的ゲーム速報さん 返信する
    使うならranran123Aとかかな 基本を半角にして数字からの大文字1文字
    半角+数字くらいが覚えやすいんだけどソシャゲとかだと大文字も入れてくれパターンあるし 面倒なのだとそれに@とかつけろって言われて忘れるパターン
  • 42  名前: 名無しオレ的ゲーム速報さん 返信する
    Jカスくさいなぁ
  • 43  名前: 名無しオレ的ゲーム速報さん 返信する
    >>39
    それ100%忘れる
  • 44  名前: 名無しオレ的ゲーム速報さん 返信する
    最強のパスワードは自分が覚えやすいこと
    イニシャル誕生日に何桁か数字足すだけ
    もちろんアドレスには名前や誕生日は入れない前提
  • 45  名前: 名無しオレ的ゲーム速報さん 返信する
    AIにパスワード聞こうぜ
  • 46  名前: 名無しオレ的ゲーム速報さん 返信する
    >>26
    アホちゃうか?
  • 47  名前: 名無しオレ的ゲーム速報さん 返信する
    予約文字で使えんのばかりじゃん
    アホなのかな
  • 48  名前: 名無しオレ的ゲーム速報さん 返信する
    日本語入力できりゃ一番いいんだよな
    日本語は、絶対ネイティブ以外にはできない文章ってあるから

    ×ダイハード○デャーハードだがや(名古屋語)

    とか、日本語を使える外国人には作れないだろ
  • 49  名前: 名無しオレ的ゲーム速報さん 返信する
    >>47
    おじいちゃん、昔と違って今は予約文字などによる制約は殆ど無いのよ
    使えない・使いたくないのは2バイト文字とパイプくらい
    あとは仕様とかの都合でしかない
  • 50  名前: 名無しオレ的ゲーム速報さん 返信する
    パスワードが16文字とか俺の脳がaccess denied
  • 51  名前: 名無しオレ的ゲーム速報さん 返信する
    さむっ
  • 52  名前: 名無しオレ的ゲーム速報さん 返信する
    大文字はいってないからはじかれました
  • 53  名前: 名無しオレ的ゲーム速報さん 返信する
    数字と大文字入れないと駄目だろ
  • 54  名前: 名無しオレ的ゲーム速報さん 返信する
    つまんない、クソ滑ってるよ
  • 55  名前: 名無しオレ的ゲーム速報さん 返信する
    この文字列をパスワードに付け足すのは絶対にやめてください
    公開された時点で辞書攻撃用の辞書に追加された可能性が高いです
    rakuten、amazonのような既知の単語も辞書にあるため、これらを追加しても事実上1文字分しか稼げません
  • 56  名前: 名無しオレ的ゲーム速報さん 返信する
    >>49
    俺の会社のシステム、個人的に利用してる大手企業のサイトでは予約文字だよ
    マウント取るには経験と知識足りなさすぎだろ
  • 57  名前: 名無しオレ的ゲーム速報さん 返信する
    小文字大文字数字記号最低1個づつ入れろとか
    指定してくるのばっかだけどな
  • 58  名前: 名無しオレ的ゲーム速報さん 返信する
    日本の銀行
    「暗証番号は数字4桁でお願いします。」
  • 59  名前: 名無しオレ的ゲーム速報さん 返信する
    特殊文字対策って普通するだろ
  • 60  名前: 名無しオレ的ゲーム速報さん 返信する
    >>55
    辞書と違って順番変えられるからそのまま使うのが悪いだけなんじゃ?
    その場合16文字あるようだからかなり強度は高いよ
  • 61  名前: 名無しオレ的ゲーム速報さん 返信する
    脆弱性オンパレード
  • 62  名前: 名無しオレ的ゲーム速報さん 返信する
    ここがダメ
    ・覚えられない
  • 63  名前: 名無しオレ的ゲーム速報さん 返信する
    なお、その辺の記号はだいたい入力制限に引っかかって使えない模様
  • 64  名前: 名無しオレ的ゲーム速報さん 返信する
    天才
  • 65  名前: 名無しオレ的ゲーム速報さん 返信する
    せめてアルファベットも混ぜろ
  • 66  名前: 名無しオレ的ゲーム速報さん 返信する
    18文字あるんだが?どこが16文字以内じゃないからやり直し
  • 67  名前: 名無しオレ的ゲーム速報さん 返信する
    大抵英数字で記号は禁止されるがな。
  • 68  名前: 名無しオレ的ゲーム速報さん 返信する
    覚えにくそう
  • 69  名前: 名無しオレ的ゲーム速報さん 返信する
    ネタをアレコレ言う気ないけど
    まず記号使えないトコが殆どだし 使えても紛らわしくて不便だよ
    話がズレるけど メアドなんかも記号は使わない方が良い
    似た記号を使った別人宛のメール来たり 教えた相手が間違えてしまう
  • 70  名前: 名無しオレ的ゲーム速報さん 返信する
    アルファベットの大文字と小文字をちゃんと混ぜるようにするだけでも
    大分安定するよなぁ。昔はめんどくさくて使い分けしとらんかったわ。
  • 71  名前: 名無しオレ的ゲーム速報さん 返信する
    そもそも流失と流出を間違えて覚えている時点で
  • 72  名前: 名無しオレ的ゲーム速報さん 返信する
    記号はキーボードがUSキーボードとして認識された時
    ちゃんと入力できなくてハマるからいややねん
  • 73  名前: 名無しオレ的ゲーム速報さん 返信する
    >>56
    予約文字というのは「使用できない仕様」とは意味が違うんですよ
  • 74  名前: 名無しオレ的ゲーム速報さん 返信する
    スラッシュとか普通使えんやろ
  • 75  名前: 名無しオレ的ゲーム速報さん 返信する
    登録するときに受け付けてくれないだろう
  • 76  名前: 名無しオレ的ゲーム速報さん 返信する
    >>73
    予約文字、予約語、ユーザが使用を禁止されている文字の違いなんて細かいことはいいんだよ。使えないという意味じゃほぼ同義だろ。IT系の仕事してない俺からすればどうでもいい話だわ。
    っていう事は俺がパスワードの話してたのに君はプログラミングの話でマウント取ろうととして来たってことじゃん。何の話してんだよ。
  • 77  名前: 名無しオレ的ゲーム速報さん 返信する
    DB破壊って、生データで保存するわけないだろ
  • 78  名前: 名無しオレ的ゲーム速報さん 返信する
    パスワード覚えられないから画面に付箋しなきゃ(使命感
  • 79  名前: 名無しオレ的ゲーム速報さん 返信する
    そのうちパスワードをAIに考えて貰う人達が現れて、他の人に簡単にバレて乗っ取られたなんて話も出てくるでしょうね
  • 80  名前: 名無しオレ的ゲーム速報さん 返信する
    頭の弱さを公開する奴いるよね
    聞いてるこっちが恥ずかしくなる
  • 81  名前: 名無しオレ的ゲーム速報さん 返信する
    普通に使えない記号だらけなのでゴミです
  • 82  名前: 名無しオレ的ゲーム速報さん 返信する
    >>9
    少なくとも約1年前のソフトバンクは平文で保存してたぞ。改修したかは知らん。
  • 83  名前: 名無しオレ的ゲーム速報さん 返信する
    普通はプリペアドステートメントとかエスケープ処理だが、パスワードとなると変にエスケープしたら厄介になるな

    使えない記号を明記したうえで正規表現で弾くのが正解か
  • 84  名前: 名無しオレ的ゲーム速報さん 返信する
    webシステムの開発もweb脆弱性診断もやってるけど
    システム作る側から言わせればこんなパスワードそもそも打たせない
    ハッカー視点から見た時、パスワードは総当たりより辞書攻撃のほうが危険度高いから記号混在でもさして影響ないし、どちらかというとシステム側のセッション管理の脆弱性がないかを見る
    だから、パスワードに記号使えば強度はバッチリみたいな発想は浅くて、固定パスワードにサイト名の先頭3文字を加えるとかでも良いからサイト毎に違うパスワードを設定するのが一番強度が高い
  • 85  名前: 名無しオレ的ゲーム速報さん 返信する
    肝心のシステムに登録できないやんけ・・・
  • 86  名前: 名無しオレ的ゲーム速報さん 返信する
    なおハッシュ化しないでデータベースに生パスワードぶち込むというクソ仕様な模様wwww
    マジでそんな脳みそでイキれるなwww
  • 87  名前: 名無しオレ的ゲーム速報さん 返信する
    使える文字と文字数で アウトになる所続出だな
  • 88  名前: 名無しオレ的ゲーム速報さん 返信する
    そもそも入力段階で弾かれるけどな
  • 89  名前: 名無しオレ的ゲーム速報さん 返信する
    昔のII○MI○のパスワードが先頭から8文字しか保存されなかったの思い出した
  • 90  名前: 名無しオレ的ゲーム速報さん 返信する
    あれ? 少なくともWindows系サーバじゃ、こういう「特殊記号」はパスワードやアカウントに使おうとしても弾かれるのでは?
    MacやLinux系は知らんけどw
  • 91  名前: 名無しオレ的ゲーム速報さん 返信する
    PCの前で入力するパスワード形式ならかまわないけど
    端末などで入力するのは地獄だぞ
  • 92  名前: 名無しオレ的ゲーム速報さん 返信する
    UTF-16なので問題ないですwww
  • 93  名前: 名無しオレ的ゲーム速報さん 返信する
    そもそも、パスワードは保存しないぞ?
    ハッシュ化するからDB破壊とかありえんのだが・・・
  • 94  名前: 名無しオレ的ゲーム速報さん 返信する
    結局二段階認証が最強だから
    ってことは三段階認証とか四段階認証までしてしまえば世界最強だよなあ?
  • 95  名前: 名無しオレ的ゲーム速報さん 返信する
    入力受け取った最初の時点で正規表現で弾くしな
  • 96  名前: 名無しオレ的ゲーム速報さん 返信する
    エクスポート時の流失防止機能ってちゃんと書いてあんだろ
    流出しそうになると流出に使われた堅牢じゃないシステムぶっ壊すんだな
  • 97  名前: 名無しオレ的ゲーム速報さん 返信する
    パスワードで2バイト通るとこあるのか?
  • 98  名前: 名無しオレ的ゲーム速報さん 返信する
    うちじゃ半角入力で全部全角変換してから処理してるわ
  • 99  名前: 名無しオレ的ゲーム速報さん 返信する
    SQLインジェクションができてしまうようなシステムならどんなパスワードを設定したところで効果ないだろう

コメントする

・NGワードはライブドア基準です。
・スパム対策で「http://〜」はコメントできません。
・住所や電話番号等の個人情報は書込みしないでください。
・特定個人や特定団体を酷く誹謗・中傷するようなコメントは控えて下さい。
・ブログの運営を著しく妨害するようなコメントについては法的措置も検討しておりますのでご理解の上コメントをお願い致します。
名前
コメント
ページトップに戻る
スポンサードリンク
人気少年漫画ランキング
人気ゲームランキング
スポンサードリンク
スポンサードリンク
カテゴリー別過去ログ
月別アーカイブ
QR
QRコード
逆アクセスランキング
スポンサードリンク