パスワードを忘れた? アカウント作成
4083923 story
セキュリティ

LinkedIn のパスワード・クラッキングから得られた教訓 20

ストーリー by reo
バリエーションすらありません 部門より

taraiok 曰く、

既報の通り、6 日にビジネス向け SNS「LinkedIn」のハッシュ化された状態のパスワードが流出した (/.J 記事)。これについて同社は 9 日、公式ブログで最新状況を報告しているが、漏れたのはパスワードのみで、パスワードに対応するメールアドレスは「公開されていない」としている (Internet Watch の記事より) 。

セキュリティプロバイダ Qualys 社の研究者 Francois Pesce 氏は、流出した 120 MB の zip 圧縮されたファイルの解析を行ったところ、ファイルには 645 万 8020 個の情報が含まれていた。さらに、オープンソースのパスワードクラックツール「John the Ripper」とパスワードによく利用される 4,000 個の単語を集めたパスワード辞書を組み合わせてパスワード構造の統計分析を行ったところ、0.1 % にあたる 55 万 4404 個のパスワードは「linkedin」という単語に関連しているのが分かったという (HELP NET SECURITY の記事本家 /. 記事より) 。

判明したパスワードからいくつかの母音を削除して新しいスラングの単語を推測することを繰り返したところ、 linkedin の前に適当な単語を追加したもの、単語の途中に数字などを入れたものなどの規則的なパターンのパスワードが多く含まれていることが分かった。これは、ユーザーが精巧だと思ったパスワードを選んでも、単語と規則に基づいて作っている限り、ツールで解析することが可能であることを明確に示している。例えば、現在の LinkedIn のパスワードが「MyPW4Linkedin」である場合、悪意のあるクラッカーなら「MyPW4Facebook」が Facebook のパスワードであると推測するのは簡単だ。今回の件で、パスワードを変更しようとする場合には単純なバリエーションで同じパスワードを使わないようにする注意が必要だろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by iwakuralain (33086) on 2012年06月14日 12時22分 (#2173191)

    複雑なパスワードはパソコンに付箋つけて管理してるからな

    って前の会社の上司が言いそう・・・・

    • by Anonymous Coward on 2012年06月14日 15時22分 (#2173390)

      キーボードの裏(某役所)

      親コメント
    • by Anonymous Coward

      でもなんだかんだ言っても、その方が情報流出の可能性は低いですよね。
      メモ帳に書いて、普段は鍵付きの引き出しにしまっておくのが最強。

      でも毎回メモ帳見つつ入力するのが面倒になって、簡単なパスワードに
      変えちゃうんだろうなぁ……。

      • by Anonymous Coward

        目の前のパソコンの製造番号をパスワードにすると言う手も。

        でも、それだと入れ替え後に分からなくなる可能性が・・・。

        # 先日、Officeのプロダクトキーをパスワードにしていた友人から電話が。
        # 要件は「パソコンのパスワード何だっけ?」 え?

  • by Anonymous Coward on 2012年06月14日 11時34分 (#2173157)

    だいたい、ライバルの似たようなサービスがあるから
    そのサービス名をモジってつけることが多いです。

  • by Anonymous Coward on 2012年06月14日 12時01分 (#2173176)

    645万の0.1%て55万じゃないよううな。

    • by Anonymous Coward on 2012年06月14日 15時34分 (#2173400)

      16KBの4000語に満たない小さいデフォルトのパスワード辞書を用いてクラッキングを開始した。
      4時間後、90万個のパスワードが割れていた。
      しかし抽出速度は徐々に落ちてきた。

      クラックを一旦停止し、すべての既存言語の辞書(400MB)に変更してみた。
      すると1時間以内にさらに50万個のパスワードが割れた。

      この辞書は10年前のもので、linkedin のような新しい単語が登録されていない。
      既知のクラック済みパスワードを使えば、それらの文字列を逆さにしたり母音を
      除いたりして、新しいスラングを推測できると思う。

      そして手元には新しく手に入った140万個の有効なパスワードがある。
      これらを辞書として使えばさらにクラックできるはずだ。

      それらのパスワードから新たに554,404個のパスワードが割れた。

      その554,404個のパスワードの内、約0.1%にあたる558個が「Linkedin」という
      文字列に関連していた。

      その554,404個のパスワードを辞書として使ったら、さらに22,688個のパスワードが割れた。

      その22,688個のパスワードの内、約14%にあたる3,248個が「Linkedin」という
      文字列に関連していた。

      こんな感じの手順を計10回繰り返したところ、最終的に計200万個のパスワードをクラックできたぜ。
      --

      これ自体誤訳ありだろうけど、多分こんな感じ。
      タレコミの0.1%の話は誤訳でしょう。

      親コメント
      • by Anonymous Coward
        まさに当てはまっちゃうパスワード付けてるオレ涙目。全部変えて回らなきゃか…
    • by Anonymous Coward

      1つのアカウントに86個近くのパスワードがかけられていたんですよ。

  • by Anonymous Coward on 2012年06月14日 12時02分 (#2173179)

    って書いてないから、流出させたサーバはLinuxなんだろ。

    そろそろ反省しろ。

    • by Anonymous Coward

      だからBSDにしておけと(違

    • by Anonymous Coward

      Linuxの情報流出はいい情報流出だから叩きません

  • by Anonymous Coward on 2012年06月14日 12時46分 (#2173215)

    もうパスワードというもの自体が過去の遺物

    • by Anonymous Coward

      お客様、誠に恐れ入りますが具体的な代替案をお示し頂けますでしょうか?

      • by Anonymous Coward
        ノーガード戦法ではないかと。実際、近所にはパスワード入れるのが面倒で電源投入するとログインまでするように設定してる人がいる。
        #ぐるっと回ってパスワードがなかった頃に戻る?
      • by Anonymous Coward

        対案も出せない奴はもっと尊大に突き放していいんだよ。
        ※ただし市長に限る

  • by Anonymous Coward on 2012年06月14日 19時59分 (#2173595)

    「1つの覚えてる文字列の後ろにサービス名をつければ、長いパスワードが簡単にいくつも作れますよ!」
    って感じで薦めている生活情報系サイトがありましたね。
    猛省してもらいたい。

    • by Anonymous Coward

      同じパスワードを使いまわすのに比べれば、より脆弱になってリスクが増えるというわけではないし

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...