メルアドが割られるとワンタイムパスワードが意味をなさない理由。

こんにちは。先日のパス抜きのお話。ツイッターでもぶつぶついってたんですが、とりあえずワンタイムパスをどれくらいの人が設定しているのかアンケを取ってみました。

驚きです。なんと約半数以上がワンタイムパスワードの設定を怠っているという結果。69票しか入っていないのですが、わりと信頼できる数字なんじゃないかなと思います。

ワンタイムパスを設定していてもメルアドが抜かれるとお終い。このアンケのツイートにもそういうリプライを頂いたんですけど、それが何故だかわからなかった。だけどやっぱり予想通りというか私の中では解決したので書いてみようかと思います。

ただ、間違えているかもしれないので、あんまり鵜呑みにはしないでくださいね。

Screenshot_20161124-140118.png


その前にヤフーのメルアドが危ないと言われていますが、調べたところどうも通信方法がGメールなんかとは違うようです。暗号化通信?がデフォなのがGメール。通信傍受された場合に情報ダダ漏れなのがヤフメって感じでしょうか。(多分)

んで、一応ヤフメも暗号化通信にする設定は出来るみたいです。https通信だったかな。ヤフメ使ってる人はこの設定を行うか、Gメールに切り替えといたほうが良さげな感じなのかもしれません。


m1-2s.png



んで本題。何故ワンタイムパスを設定してあるのに、メルアドを割られるとパス抜きに遭ってしまうのか。そもそもネクソンIDにログインするためにはワンパスが必要なわけで、多分これを割るというのは相当難しい感じ。

ワンタイムパスの解除申請はネクソンIDにログインしなくても出来ますが、その時にはネクソンIDに登録してある氏名や電話?などの個人情報を求められます。よってメルアドを割られても個人情報が割れていない限りは相当安心。

ということで私の結論としては、メルアドの設定に個人情報が馬鹿正直に書いてある。もしくはそういったやりとりをしている送受信記録がある。→個人情報が丸わかりなのでワンパスを解除できる。→装備とキャラとNPもろもろ頂きます。という感じかと。


・メイプル専用のメルアドを作る。
・そのアドレスではネクソン以外と送受信などやりとりを一切しない。
・メルアドの中には一切個人情報を残さない。登録はHNでやる。
・必要のないメールは全て削除しておく。
・ヤフメでなくGメールを利用。(聞いた情報だと携帯のメールが最強らしい。)
・ワンタイムパスを設定する。
・それぞれのパスを完全に差別化する。
・パスワードは出来るだけ複雑かつ長く設定する。使い回しは厳禁。



こんな感じが現状の完全版パス抜き対策という気がしなくはない。これを全部やってればメイプルID/パスを直接抜かれるような場合を除いてメイプルIDを守ることが出来ると思う。

メルアドを対ネクソン専用のものにするのは身内の犯行を防ぐため。あなたの友達が悪魔だった場合に、その悪魔が本名、電話、生年月日などの個人情報を知っていて、解除申請が通ってしまうとワンパスも意味をなさない。

こうやって考えると、ワンパス設定しているにも関わらず、メルアド割られてメイプル乗っ取られるパターンって半数に近いくらいは身内じゃねーのと思っちゃう。仮に自分がパス抜きに遭ったとして、私は自分の友達を疑いたくない。そうならない為にもパス抜き対策は万全にすべきだと思う。

もちろんパス抜きやってるゴミが一方的かつ圧倒的に悪いわけだけども。自分も悲しいし、周りも悲しい思いをするんだ。友達を疑う自分は嫌じゃない?あなたがパス抜きに遭うと、あなただけじゃなくあなたに関わった沢山の人が悲しむよ。

てなわけで、やるだけやってて抜かれたなら仕方ないけど、出来ることはやろうね。って感じです。


パス抜き対策は万全に。
スポンサーサイト

パス抜きのパターンと対策?詳しい人教えろください。

パス抜きが流行っているようです。直接の友人ではありませんが、少し前にパスを抜かれ装備を売り払われている様子がツイッターのTL上に流れているプレイヤーが居ました。

直近ではこのブログからもリンクさせてもらっている、パンテの民の管理人さんがパス抜き被害に遭われたようです。個人的にとても好きなブログだったので、残念ですし、怖いですし、犯人に対しては許せない気持ちでいっぱいです。

ということで今日はパス抜きのお話。私は詳しくないのですが、ちょっと色々考えてみたので書いてみることにしました。


m1-2s.png


・メールアドレス・パスを抜かれる。
・ネクソンID・パスを抜かれる。
・メイプルID・パスを抜かれる。


今回、自分のメルアドやネクソンIDでログインして、パス犯になりきってメイプルIDまで辿り着こうとしてみました。パス抜きのパターンですが、上記の3つのどれかだと思われます。

結論から先に言うと、メルアドとパス割られたら大体終わりだと思います。

ネクソンIDに登録してあるメルアドさえ手に入れてしまえば、ネクソンIDを知ることは簡単です。公式からメールアドレスを打ちこむだけで、ご丁寧にネクソンIDをメールで送信してくれます。

そしてネクソンID+メールアドレスさえ手に入れてしまえば、ネクソンIDのパスも簡単に変更することが出来ます。これも公式から打ちこむだけで簡単に簡易パスが発行されます。

ネクソンIDでログイン出来れば、メイプルIDを知ることもパスを変更することも簡単に出来ます。よってネクソンIDに登録しているメルアドを割られてしまうと、ネクソンIDやメイプルIDのパスワードをいくら複雑にしていても全く無意味だと思われます。

ただしここで威力を発揮するのがワンタイムパスワード。という事でいいのかな。別端末でほんの30秒程度有効な一時的なパスワードを発行するというもの。詳しくはないけど多分あってる。

ていうか恐らくですけど、ワンパス設定していればメイプルID/パスを直に抜かれる以外では、ほぼパス抜き被害は防げるんじゃないでしょうか。今回のぱむさんもワンパス設定はしていなかったと書いてましたし。

最良のパス抜き対策はワンタイムパスワードの設定だと思われ。メルアド/パスが仮に割られたとしても、ネクソンIDにログインできなければメイプルIDも守ることが出来ますから。

でもでもどうしてメルアド・ネクソンID、それぞれのパスが抜かれちゃうの?って疑問がある。

・パソコンを盗み見られた。
・ネカフェなどでメルアドにログインしてログイン情報が残ったままだった。
・どこかにメモしていたものを見られた。
・友達に教えていた。
・メルアド・ネクソンID・メイプルIDのID名・パスが同じ、もしくは非常に似たものであった。
・ネクソンが情報漏えいした。


こんな感じでしょうか。あとはPCにウイルスが入ったとかフィッシングサイトに引っかかったとかそういう系?そっち方面は本当に無知なんですが、正直言って物理的に抜かれるパターンが多いんじゃないかと思う。

そして妄想してみると、身内かそれに近い人の方が圧倒的に犯行しやすいってことも考えられる。

例えば、スカイプで画面共有したままログアウト/インを行った為にメイプルID・2次パスが割れてしまった。とかいうことは十分考えられる。パスは伏字だけど、それが非常に簡易なものや予想しやすいものだったら?

ネクソンIDに登録しているメールアドレスで友達とやりとりしていて、パスを割られてしまいそこからネクソンID/メイプルIDを抜かれてしまう。こんなパターンはありえるんじゃ?

今回のぱむさんの件もメルアドに変なログイン記録はないと書いてあったようなので、直接ネクソンIDかメイプルIDとパスを抜かれたということになるのかな。何にせよワンタイムパスワードの設定は必ずしておいた方がよさそう。

パスを抜かれるという経験はないのだけど、昔言われてたようにゲーム内でチートなどによってメイプルID/パスを抜かれてるならこれはお手上げに近い。

でもそんな感じで抜かれるなら、ブログでキャラ名や装備を晒すだけで狙われる可能性すらあるから廃人どもがもっと被害にあってて良いと思うんだよね。

・ワンタイムパスワードの設定(最重要)
・それぞれのパスワードの複雑化と差別化


対策としてはこんな感じか。ワンパスの設定はもちろんのこと、それぞれのパスワードは大文字・小文字・数字を組み合わせた上で、出来るだけ長く、脈絡のない(単語などは使わない)パスワードにする。もちろんパスの使い回しは厳禁。

大事なパスワードは抜かせない為の最善策をとって、さらに抜かれてしまっても守れるように何重にも対策をしておいて損はないと思います。私も今回の件で色々設定を変えようと思いました。

パスを抜かれた人には大変酷な話だとは思うけど、「本当に少しも1mmも抜かれるような行為をやった心当たりない?」かを聞いてみたいなと思う今日この頃。皆様もパス抜きにはご注意を。あと詳しい人いたら色々教えてください。

追記:ワンタイムパスワードを設定していてもメールアドレスを割られるとダメみたいです。メールセキュリティを高めましょう。(ただし何故ダメかは私自身はよくわかっていないです。ネクソンIDへのログインなしでワンタイムパスを解除する方法はあるのでしょうか?調べたけどなさげなんだよなぁ。なんにせよメルアドのセキュリティも高めておいて損はないと思われますが。)

さらに追記:ログインなしでもワンタイムパスワードの利用停止を申請することは出来る模様。ただし申請にはネクソンID/パスや氏名・生年月日などの個人情報が必要。メールアドレスが割られたときにこれらの情報も一緒に盗まれるような状況だとワンパス設定をしていても危険?



クリックせよ。

Pagination

Utility

プロフィール

匿名の忍者

Author:匿名の忍者
210Lv(2016/8/28)→
220Lv(2017/1/30)
ある事情で匿名でブログをすることに。気が付く人は気が付くでしょう。だが詮索はするな。そして誰にも言うな。


アクセスカウンター

検索フォーム

ブロとも申請フォーム

QRコード

QR