Webやソフトウェアのパスワードを見る方法

2010年9月 1日

パスワードは必要なら使用し可能な限り使わない。

これは個人的な考えですが、過去無駄にパスワードをかけて開けなくなったファイルが数個。反省して以後、無駄と思ったパスワードは使わないようにしております。但しオフラインの事でオンラインではパスワードの設定が有るなら必須項目。

Webのパスワードも見えてしまうフリーソフトが紹介されておりネタにします。

元のソフトウェアはAsterisk Key、紹介をGIGAZINEより。

「***」パスワードを抜き出すフリーソフト「Asterisk Key」 - GIGAZINE
http://gigazine.net/index.php?/news/comments/20100823_asterisk_key/

ダウンロードからインストール、使用したスクリーンショットまで載っている為、詳しくはGIGAZINEをどうぞ。ダウンロードはここから。

Asterisk Key - shows passwords hidden under asterisks
http://www.lostpassword.com/asterisk.htm

 

Asterisk KeyはInternet Explorerでパスワードが見える

試したバージョンはIE(Internet Explorer)8、実験的に保存したパスワードは本当に見えました。Firefoxもやりましたが見えず。この辺りがセキュリティの意識というかレベルというか、仕組の違いでしょうな。

Basic認証も見えてしまいます。

bto-pc-jp Basic認証画面のパスワードをクラックされる

当サイトのログ管理画面への認証。右にログイン用の窓が出ておりパスワードは*で潰されているものの、左のAsterisk Keyには3~4行目付近に表示されております。

IEでパスワードを保存している場合に限られますが、実験すると見事としか言いようの無い結果になりました。

私の知る限りでは、パスワードを表示させるソフトウェアはアプリケーションなどの窓に限られ、Webのパスワードまで簡単に見る物はございません。

メールソフト(Becky!)でもやってみると。

メールソフトの設定画面に有るパスワードを取り出す

普通に表示されます。

Webでの使用が要らなければフリーソフトのパスみえ2000が有名でしょうか。約10年前に作られたもので今でも使えます。

passmie2000

照準マークをパスワードで*になっているボックスへ移動すると一瞬で表示。桁数など無関係。パス見えはWindows XPでやっている為、Vista以降で動くかは知りません。

 

パスワードの設定や保存で注意する事

パスワード保存はWindowsのどこかに記録される

場所は様々ですが、上で紹介したような*を表示される事と並行し、パスワードを保存するという事はブラウザのそれ用ファイルやWindowsのレジストリ、ソフトウェアの設定ファイルなどに書き保存されるという事です。

悪意有る第三者に解析されても良いなら結構ですが、オンラインの銀行や証券のみならず、楽天やYahoo、Googleのような個人情報が満載されているサイトへのアクセスもパスワード保存はお勧め出来ません。

フリーのチェッカーで強度を確認

フリーソフトも有りますが、Web上で確認出来るサイトを2つ。

いずれも単純なパスワードでは強度は弱と表示されるでしょう。 例として、1234567890、password、qwerty、asdfgh、4桁の数値など。

リンク下のサイトは海外ですが、フレーズ数500のサンプルが有るようで有りがちなら指摘してくれます。

how-secure-is-mypassword

枠に「password」と入力した所。良く有る500例と注意されます。

IE8で「1234567890」。無駄にAsterisk Keyを使用すると。

how-secure-ie-password

16分くらいでクラックされる計算のようです。

過去に聞いた話では12桁以上で無ければ迅速に破られてしまうという噂も有ります。種類はせめてアルファベットの小文字と数値は入れるよう心掛け、可能な限り長くしましょう。

複雑過ぎるパスワードは無意味になる事も

修理中に見てしまう事として、デスクトップに「パスワード.txt」を置いているユーザが結構居られます。私が悪意有る人間なら簡単に盗まれてしまう。

ノートPCでは、付箋にメールのIDとパスワードや楽天も同様に書き貼られている方も居られ、オンラインでは見えないもののオフラインでは周囲から丸見えです。

複雑なパスワードを設定する事は重要ですが、覚えられないパスワードを設定した上にメモをすると意味無し。自宅ならまだしも、企業の事務所などでそのような無責任な事をしないようご注意有れ。

変更出来ない複雑なパスワードなら、頭の1~3文字程度を記憶し残りの文字をメモするなど工夫しましょう。

ヒント用のフレーズは真面目に入力してはいけない

最近良く見ますが、質問を選択し、回答を入力するとパスワードを忘れた際にログイン出来てしまうサイト。メールで送られて来たり、元のパスワードを破棄して新パスワードを設定させるなら結構ですが、ログインはまずい。

有りそうなパターンとして。

  • 母親の旧姓、飼っているペットの名前>親しい人間なら分かる
  • 好きな映画、好きな芸能人の名前>趣味を知られている危険性
  • 質問内容を入力して下さい>簡単な質問に簡単な答えはまずい

ヒントの設定が必須で無ければ結構ですが、必ず入力する事になっているなら全く関係の無い言葉や、キーを適当に叩いて無意味な羅列を長々と入れましょう。

後者はヒントの機能を使わない覚悟で。前者は例として、好きな映画は?>特攻野郎Pentium4、のように存在せず記憶出来る何かをお勧めします。

ネットカフェや他人のPCでは意識してパスワード保存しない

癖でつい保存してしまうかも知れない。前述の通りIEはスカスカ。

ネットワークとPCを貸してくれるネットカフェでは、Cookieやキャッシュを保存しない設定かつ設定を変更出来ないようカスタマイズされていたり、最も良い方法と思われるPCを起動や再起動時に毎回リカバリされ工場出荷状態になる事も。

専門では無い店にサービスで置いてあるパソコンでは充分注意を。特に楽天のようにパスワードを保存するというチェックかと思ったら、逆だったというパターン。

rakuten-login-password

楽天の場合はブラウザを閉じれば良いものの、他のサイトでもこのような罠が無いとは限らず。

 

パスワード関係で注意する事

随分前にophcrackでログインパスワードを解析する方法 をやりましたが、今回はWindowsのログインでは無くログイン後のパスワード保存について。

第三者のパソコンを使う以外に、修理やデータ復旧でパソコンを他人に預ける事は、プライベートが丸見えになる事を意味します。

簡単に悪用出来る為書きませんが、もっと高機能なツールが有り、Windows内に保存されているIDとパスワード、サイト名、ソフト名、その他諸々をぶっこ抜いて一覧にし、テキストやhtml保存出来る物も有ります。盗む作業はデータの量に関わらず数秒。

年に数回、どの程度の情報が保存されているか自分のPCで点検しますが、私が悪い人間なら修理するとしてPCを預かり、保存されているパスワードを全部抜き出す事も可能。

この場合、悪意有るソフトウェアとしてセキュリティソフトが反応する事も有りますが、事前に切っておけば良い為、メーカー以外の修理屋から帰って来たならセキュリティソフトのログチェックをお勧めします。

しかし何をしようとHDDのクローンを作られたら無力で、自分が所有する以外にHDDが存在するならログもクソも有りません。過去に信用ならない業者をいくつか叩き晒しておりますが、それに限らず個人や街の修理屋には警戒しましょう。

全ての業者が悪意有るとはもちろん言えないものの、全ての業者が善良とは限らない。メーカーの修理現場でさえ、やろうと思えばデータやパスワードを盗めない事は有りません。

他人へ一度渡ったPCに保存されていたメールなどのパスワードは、戻って来た際に即変更。基本的にブラウザなどのパスワードは保存しない事をお勧めします。

今月のオススメBTOパソコン

リンク用ソース

コメント(1)

ヒント用フレーズの話などはなるほど思いながら興味深く読ませていただきましたが、毎度エラい有用な情報ありがとうございます。

「Asterisk Key」でいくつか試してみたので簡単にご報告。
以下web認証のオートコンプリート機能で確認
「Chrome」:解析不可
「Firefox」:解析不可
「Opera(古めのver9.64)」:解析不可(おそらく現行verでも問題ないかと)
「Internet Explorer7・8」:解析成功
てか、私の環境ではIE「以外」は見れませんでした。

Microsoftェ・・・もうブラウザ作るのヤメrお前は十分頑張った、もう休めw


ご紹介頂いたフリーチェッカーで使用しているパスワードを試してみました。
英数16文字ですが私的アルゴリズム生成なので覚えられるというw

「How Secure Is My Password?」のほう
入力ケタ数が増えるに従ってクラック時間が増大していき最後の16ケタ目で
「About 25 billion years」
250億年?にワロタ

「パスワード チェッカー(マイクロソフト)」のほう
同様に7ケタ目までは「弱」で8ケタ目入力の時点で「中」に変化
そのまま16ケタまで入れ終わっても「中」のまま・・・って、おまw
「中」の幅あり過ぎるだろw

ちなみに「How Secure Is My Password?」にてキャッシュカードでデフォな数字のみ4ケタを試したらクラック時間「0.001 seconds」でフイタ

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★ 長保証: ★★

コスパ: ★★★★★ 安保証: ★★

部品選: ★★★☆☆

初心者や実用重視のPCユーザー向け。デスクトップ以外にノートも多数有り価格と性能のバランスが良く選びやすい。全国に実店舗が多数有るBTO PCメーカー。

マウスコンピューター

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ★★

部品選: ★★★☆☆

パソコン工房と同様に機種が多くノートの取扱も有りゲーム用やクリエイター向けPCも有り。送料が比較的高額なので総額注意。知名度は国内トップクラス。

ドスパラ

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ☆☆

部品選: ★★★☆☆

デスクトップPCならパソコン工房とマウス以外にドスパラも見る価値有り。秋葉原に本拠地を構える昔ながらのBTOパソコンメーカーで知名度はマウス並に高い。

DELL

高性能: ★★★☆☆ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ☆☆

部品選: ☆☆☆☆

2011年頃から安く無くDELLを選択肢に入れる理由が薄く回線抱き合わせ販売の価格がまぎらわしい。ゲームPCのAlienwareは見た目重視コスパ最悪なので要注意。

日本HP

高性能: ★★★★ 長保証: ★★

コスパ: ★★★☆☆ 安保証: ★★

部品選: ☆☆☆☆

高性能ノート以外は見る価値が薄く高額なLenovoという感じ。早々にWindows 7を捨て8に切り替えたので7が必要なら行っても無駄。2012年後半から迷走中。

TSUKUMO

高性能: ★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★

部品選: ★★☆☆☆

ヤマダ電機による買収後はマニアックな感は無くなり家電通販のような普通のパソコン屋に。BTO PCは機種が少なくやや割高。ツクモファンなら選択肢へ。

FRONTIER

高性能: ★★★☆☆ 長保証: ☆☆☆

コスパ: ★★☆☆☆ 安保証: ☆☆☆

部品選: ★★☆☆☆

2013年7月に(株)KOUZIROが倒産しヤマダ電機子会社インバースネットが続投。長期保証が消滅。これと言った特徴が無く難点は有れど利点が見当たらない。

サイコム

高性能: ★★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★★

部品選: ★★★★★

自作しない中~上級者のPCユーザ向け。初心者にはカスタマイズが難しく動かない構成でも購入できるので注意。パーツへのこだわりや知識が有るなら。

※並びはBTOメーカーの知名度の順。大小関わらず信用できない要素があるメーカーは未掲載。

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

お知らせ


Windows 7サポート終了は2020年1月14日

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。