本日朝のNHKのアサイチによれば、らゐんのアカウントが乗っ取られ、コンビニでネットコインを購入して送金させる詐欺が起きているという。
クラッカーは、どこか脆弱なサイトをクラックしてパスワードのリストをダウンロードしたら、次はその組み合わせを用いて別サイトにログインを繰り返すことで、パスワードを使い回しているユーザーのアカウントを乗っ取るらしい。何百万件ものパスワードの暗号を解読しているハッカーがいるのであれば、それはそれで賞賛に値するブルートフォースである。しかし、もし暗号化を施されていないか、簡単に破れる程度の暗号化しかしていないパスワードリストが流出するようなOSがまだあるのだとしたら、筆者はそういうサーバーの利用は御免被りたい。
番組では、パスワードの使い回しを避けるノウハウの一つとして、サービス名を含めることが提案されていた。
盗んだパスワードに攻撃先のサイト名をくっつけた変種パスワードを生成するのは、一行のスクリプトでできることであろうから、ここにさらに、適宜文字を記号や数字にリプレースするような「変異」を導入しなさいという結論なのであろう。