ネット上で大騒ぎになっているので、すでに知っている人も多いだろう。次のページでは、解説した筆者が欣喜雀躍として、大喜びしている。よほど「メシウマ」と感じたらしい。
→ 池田信夫、自らのメールアカウントを乗っ取られ
なお、乗っ取られた理由は、本人の弁では、次のことらしい。
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
— 池田信夫さん (@ikedanob) 10月 3, 2012あまりにもひどいので、呆れた。 twitter みたいな認証(OAuth 認証)なら、簡単なパスワードでもいい。
しかしそれはあちこちでも共有されるものだから、もともと「盗まれやすい」と自覚しておくことが必要だ。
次のページに解説がある。
→ 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
したがって、Google みたいな「絶対に盗まれてはいけない」というサイトでは、twitter とはパスワードを共有してはならない。絶対に! (こんな知識もなかったから、池田信夫は情弱と言われる。とはいえ、同様の人は多いかも。特に、技術音痴の文系だと。)
また、Google みたいな「絶対に盗まれてはいけない」というサイトでは、パスワードは複雑で長いものにする必要がある。たとえば、次のような。
sd8h7a98ago78qx4pduj35jdm2agh
それだとしても、別に不便はない。なぜなら、LastPass を使えば、自動認証するからだ。
実際、Google のパスワードを抜き取られた、という事件は前にも起こった。このことは、私も言及した。
→ Google のパスワード
──
さらにもう一つ。
メールは必ず、バックアップを取っておくべきだ。たとえば、Gmail を使うなら、その全部を、別のアカウントに転送する。転送先は、次のいずれかだ。
・ Livedoor メール
・ au-one メール
それらが使いにくいのなら、次のものでもいい。
・ Yahoo メール
・ Outlook メール
いずれにせよ、Gmail から転送してしまえば、そこにすべてバックアップが取れることになる。
※ この件は、上記項目(Google のパスワード )の
[ 付記1 ]に記してある通り。
──
以上のことは、ちゃんとやっておきましょう。
池田信夫も、本サイトを読んで、あらかじめ対策しておけば、こんな愚かなことにはならなかったのにね。
《 注記 》
本項では話題の紹介をするだけで、肝心の情報内容は記してありません。肝心の情報は、リンク先の二つのサイトを見てください。
・ 池田信夫の事件の解説
・ OAuth 2.0 認証の問題
いずれも情報量が豊富なサイトなので、そちらをお読みください。
[ 付記1 ]
池田信夫の事件では、メールのなりすましではなく、まさしくアカウントを乗っ取られたようだ。
それは調べましたが、起点のIPアドレスがグーグルと一致しています。 RT @onsentamago_mp: メアドのなりすましは基礎的なプログラムの知識があれば誰でも簡単にできます。googleのパスワードがハックされた訳では無く、単にメアドなりすましの問題だと思われます。
— 池田信夫さん (@ikedanob) 10月 3, 2012[ 付記2 ]
「池田信夫にブロックされているので、彼の twitter が見えない」
という人は、次のいずれかでOK。
・ いったんログアウトしてから接続する。
・ twilog を見る。
→ http://twilog.org/ikedanob
[ 付記3 ]
Yahoo メールは、4カ月使わないと、メールがすべて削除される。下記を参照。
→ http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1134846386
また、持っていても、やたらとスパムばかりが来る。スパムフィルターが働いていないようだ。持っていても、使い道はないね。以前はそうでもなかった(スパムはまったく来なかった)のに、ここ数カ月、スパムだらけになった。
[ 付記4 ]
これを機に、私も Google のパスワードをうんと複雑なものにしておいた。
LastPass を使う場合、そのままだと元のパスワードが保持されてしまうので、いったん LastPass の管理画面を起動して、古いパスワード情報を削除しておく必要がある。その後、新しいパスワードで接続してから、それを LastPass に記憶させればいい。
【 関連サイト 】
(1)
Google のアカウントが乗っ取られたときに、回復する方法はある。池田信夫は「 Google さん、助けてください」と twitter で喚くだけだったが、実は自力で回復する方法がある。ネットで調べればわかるんだけどね。下記に詳細がある。
→ Gmail のアカウントを乗っ取られてから取り戻すまでのあれこれ
(2)
この問題についての識者の見解は、下記にある。
→ スラッシュドット
池田信夫が「 twitter のセキュリティホールのせいだ」と述べたが、このことも批判されている。
→ 全くOAuthの仕組みがわかってないね
※ セキュリティホールはあるけど、それは twitter のセキュリティホールじゃないんだから、 twitter に対策を求めるのは勘違い。
──
よくパスワードって英字、数字、記号を混ぜたものを使って、辞書に載ってるような言葉は
使うなって言われてるけど、実は辞書に載ってるような言葉で、短い文章を作ったほうが
強いパスワードが作れるんだよな。
文章のほうが覚えやすいし。
英字、数字、記号が80種類あるとして、それで8文字のパスワードを作った場合の組み合わせは
80^8 = 1677721600000000
辞書に載ってる英単語が10万として、5個の単語で文章を作った場合の組み合わせは
100000^5 = 10000000000000000000000000
→ http://engawa.2ch.net/test/read.cgi/poverty/1349234197/146
──
もっともらしい計算だが、普通は英単語の1万語レベル以下の語彙しか使わないから、10万語ではなく1万語だ。それが2語ぐらいだと、コンピュータであっさり破られるレベルだ。
一般的には、「パスワードには英単語を使わない」というのを原則とするべき。クラックするときには英語を使う場合がほとんどだからだ。池田信夫もたぶん英単語(みたいなもの)を使っていたのだろう。
日本語のローマ字書きならば構わない。特に、珍しい人名なら、もっといい。例。「かぶらぎ まさむね」のローマ字書き。
「他人事じゃない! Twitterを乗っ取られた場合の対処法」
→ http://www.lifehacker.jp/2012/10/121003twittertakeover.html
その後の情報が見られます。