セキュリティ

「危険なパスワード一覧」から自身のパスワードをこっそり削除したことがバレて逆に世界一有名なパスワードが爆誕

by Damian Patkowski

SecLists」はセキュリティアセスメントに役立つ複数種類のデータをリストとしてまとめたもので、ハッキングの危険性が高いユーザー名・パスワード・URL・機密データなどが含まれたリストです。このリストに自身の使っているパスワードが含まれていることを発見したユーザーがこっそり自身のものだけ削除したところ、他のユーザーに改変内容が見つかってしまい、総ツッコミを受けるハメになっています。

Projects/OWASP SecLists Project - OWASP
https://www.owasp.org/index.php/Projects/OWASP_SecLists_Project

SecListsのリストはGitHub上で公開されているので、インターネット上から誰でも簡単にアクセス可能なデータとなっています。

GitHub - danielmiessler/SecLists


そんなSecListsのGitHubページに、ひとつのコメントが投稿されます。コメントを投稿したのはソフトウェアエンジニアのAssaf Nativ(@assafnativ)さん。投稿したコメントは「リストから僕のパスワードを削除してください。そうすればハッカーが僕をハッキングすることはなくなるはずだ」というもの。


このコメントに対して多くのユーザーが反応しており、コメント欄は大喜利状態に発展しています。

mitcomというユーザーは「@assafnativさん、ファイル名をアップデートするのを忘れないで下さい。10_million_password_list_top_1000.txt(SecListsのひとつである頻繁に使用されるパスワードトップ1000をまとめたリスト)は正しくなくなっていて、999個のパスワードしか記載されていないよ」とコメント。これは、「10_million_password_list_top_1000.txt」の更新情報の差分から@assafnativさんがリストから自身のパスワード(dolphins)を削除したことを指摘する内容です。


「パスワードを『dolphins』に変更するんだ!今『dolphins』は安全だぞ!」


「私のパスワードの『hunter2』は安全だわ」


「僕のパスワードの『thisissparta』は安全???」


「@assafnativさんは僕と同じパスワードなの?」


「『Password/unhackable_passwords.txt(ハッキング不可能なパスワード)』ファイルを作って『dolphins』をその中に入れよう」


「『12345』は消すべきだ。こんな馬鹿なパスワードはお荷物以外の何物でもないし、明らかに使われていないし、安全じゃないことが知られてるんだからテストの時間の無駄だね」


画像を使って@assafnativさんをイジる人も。


「『dolphins』をリストから削除したら代わりに『thanks for all the fish(いままで魚をありがとう)』を追加しておいてね」


「これまでで最高のパッチだ」


「今、世界が君のパスワードを知った」


「2017年で最も優れた削除申請だ」


「もしも自分のパスワードを変更したくないなら世界を変えるしかないね」


「僕も同じような問題に直面しています。自分の使っているパスワードは『qwe123』なのですが、なぜかよくハッキングされてしまうんです。そこで、このリストから僕のパスワードも消してもらえませんか?


「dolphins」は期せずして多くのユーザーの知るところとなってしまったので、同じパスワードを使っているという人は早めに変更した方が良さそうです。

・関連記事
パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE

2017年最悪のパスワード100発表、トップは不動の「123456」 - GIGAZINE

「2016年によく使われたパスワードトップ25」発表、数秒で突破可能な「123456」「qwerty」などが並ぶ - GIGAZINE

「使ってはいけないパスワード」トップ50が公開、1位は「123456」で2位は「password」に - GIGAZINE

パスワードの使い回しや大文字小文字が混在しているかなどをチェックするお節介過ぎるパスワードチェッカーが登場 - GIGAZINE

in セキュリティ, Posted by logu_ii