2019/09/24

パスワード回復サービス

username, password, id, auth

2019 年 9 月 24 日 Trevor Collins 著

Phil Dougherty 氏が最近、あるユーザが失念した Ethereum ウォレットのパスワードを探す仕事を Reddit で始めました。別のユーザからも、パスワードの一部の候補の組み合わせから複数のパスワードを特定して欲しいという依頼が投稿されました。Phil Dougherty 氏は、最初のユーザの Ethereum パスワードだけでなく、もう 1 人のユーザのパスワードも特定しました。彼がこのようなサービスを始めた経緯は、この記事で詳しく説明されています。

彼のこの副業には、教育用ゲームを楽しむ人たちの習性に関する彼の今までの研究が役立っているようです。彼は最初に、ユーザがパスワードについて知っていることを質問し、次に、ユーザがパスワードを決める際の習慣を質問します。パスワードの末尾に数字を付けることが多いのか、パスワードは大文字で始まっているのかなどを確認したら、自分のプログラムにそれらのパラメータを入力し、Hachcat を使ってパスワードを推測します。多くの場合、彼はパスワードの特定に成功し、依頼者は彼に対価を支払ます。

パスワードを忘れてしまって回復できない場合、このサービスを利用したいと考える人は多いでしょうが、このサービスや類似するものを使うということは、そのユーザがパスワードを決める際の習慣を知られてしまうことになります。この情報が誤った人の手に渡ってしまうと、銀行を含むすべてのアカウントに簡単に不正アクセスされてしまう恐れがあります。パスワードフィールド以外の手段でパスワード情報を送信すると、転送中に誰かにパスワードを読まれてしまうリスクが大きくなります。したがって、たとえ確かな実績がある人物によるサービスであったとしても、この種のサービスの利用はお勧めしません。パスワードマネージャを使えば、このような問題を防ぐことができますが、事前のインストールが必要です。このようなサービスを使用する必要がある場合は、パスワードマネージャで作成したすべてのパスワードを変更してから、パスワードマネージャをまた使用するようにします。