パスワードを忘れた? アカウント作成
12017512 story
統計

統計によるパスワードクラック 38

ストーリー by headless
平凡 部門より
システムに侵入した攻撃者がデータベースダンプからパスワードを取得するには、パスワードハッシュをクラックする必要がある。パスワード解析には長い時間を要することもあるが、統計的な分析を取り入れることで効率を上げる手法があるそうだ(Praetorian Security Blogの記事本家/.)。

現在ではユーザーに複雑なパスワードの作成が要求されるようになっており、システム側もより高度なハッシュアルゴリズムを使用するようになってきていることから、効率の良いパスワードクラック手法が必要となる。通常は短時間で完了する辞書の総当たりから始め、単語と数字や記号を組み合わせたハイブリッド方式、マルコフ連鎖によるパスワード生成など、より時間のかかるものを順に試していくことになる。しかし、大文字や数字、記号の位置、同じ文字種の連続といったパスワードの構造について、どれから試していくのかによって所要時間が大きく異なる。そこで、パスワードの構造を統計的に分析したものを利用することで、効率の良いパスワードクラックが可能になるという。

過去に流出した3,400万以上のパスワードについて構造を解析した結果、13種の構造のみで全パスワードの50%を占めていたそうだ。また、パスワードの作成時に求められる要件によっても、選択されるパスワード構造に偏りがみられるとのこと。たとえば、大文字のアルファベットを1文字以上使用することがパスワードの要件となっている場合、90%以上が大文字を1文字のみ、パスワードの先頭に使用するという。数字を含める必要がある場合、ほとんどのユーザーが2桁の数字をパスワードの末尾に付加しており、次に多いのが4桁の数字を末尾に付加したもの。末尾に1桁の数字を付加したもの、末尾に3桁の数字を付加したものが続く。

よく使われるパスワード構造を避けることで、統計によるパスワードクラックに強いパスワードを生成できるが、ランダムな構造にすると覚えにくくなってしまう。記事では2要素認証のパスワードマネージャーの使用を推奨している。皆さんはクラックされやすそうなパスワード構造を使用していないだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by the.ACount (31144) on 2015年04月18日 13時09分 (#2799660)

    大文字を先頭にするのと末尾を数字にするのは止めよう。

    --
    the.ACount
    • by Anonymous Coward

      数字を先頭にして末尾を大文字にするということですね。わかります。

      • by Anonymous Coward

        ヤバい、俺のパスワードのことかと思った

  • by Anonymous Coward on 2015年04月18日 13時16分 (#2799662)

    辞書に載っている単語と空白を組み合わせただけの覚えやすい8語のパスフレーズのほうが、ランダムな英数字8文字よりはるかに破りにくい

    • 本これ。
      せめて身の周りからでも環境を良くしようと、私は自分が設計に携わるシステムでは数文字、十数文字なんて短い制限はしません。
      ただしもちろん、明確な入力の上限は付けています。漫然と長くすると、数千文字の入力でログイン機構を迂回できちゃったXboxのバグみたいなのも起こりうるので。

      親コメント
    • by Anonymous Coward

      ふっかつのじゅもんがちがいます

    • by Anonymous Coward

      > 辞書に載っている単語と空白を組み合わせただけの覚えやすい8語のパスフレーズのほうが、
      > ランダムな英数字8文字よりはるかに破りにくい

      いや、同じレベルだろう。辞書に載っている単語だとそのほうが多少早いかもしれない。

      • by Anonymous Coward

        ランダム英数8文字: 62^8
        単語8個: 少なくとも数千^8
        ですから、まるっきり違いますよ?

        問題は、例えシステムが受け入れてくれたにしても、そんな長いパスワードを入れるのは面倒だということです。
        特にキーボードがない時は。

        • 今回の統計の話のように「複数ワードのパスフレーズ解析が効率的」という話になれば、
          攻撃者もランダム英数字のパスワードと同じ方法のクラックは試さないんじゃないですかね。

          WindowsよりMac OS Xが安全、くらいの意味しかないかと。

          親コメント
          • by Anonymous Coward

            #横からな上に若干オフトピですが
            元コメント#2799815にあるパターン数の意味を理解されていないように思います。
            ここでの例はすでに
              完全ランダムな、大文字小文字を区別する英数字8文字
                    vs
              (例えば)数千種類の単語を持つ辞書から8単語抽出
            になっている、つまりパスフレーズを利用する例では「複数ワードのパスフレーズ解析が
            効率的である」と判明した世界になっていて、それでもなおパスフレーズの方が
            クラック耐性的には格段に有利だという話になっています。
            文字通りケタ違いです。

            #1000単語から5個の方が英数8文字より強い
            #それはそれとして入力が面倒くさい問題は解決難しそう

        • by Anonymous Coward

          ~\;|_辺りが苦行ですね。
          iPhoneは入れ方分からなかった。
          ソニーはキーボードインストール必要っぽい。
          ノキアは特に何もしなくても入れられる。

        • by Anonymous Coward

          単語8個

          →せいぜい3か4じゃね?  現実的に入力できる長さって

      • by Anonymous Coward

        62(大文字小文字+数字)の8乗と、少なくとも1000かそこらの8乗が同じレベルとは、ずいぶんとまた斬新なご意見ですなあ。
        もちろん、1語目は代名詞、2語目は動詞の可能性が高いとか、それこそ統計的な手法である程度は狭められるだろうけど、それにしても比べものにならんだろ。

        • by Anonymous Coward

          うむ。
          8つ単語を並べよう!って言われたとたん
          one two three four five six seven eight

          To be To be Ten made To Be
          のどちらにしようかなーって考えちゃうようなおっちょこちょいさんなのかもしれない。

  • > パスワード解析には長い時間を要することもあるが、
    > 統計的な分析を取り入れることで効率を上げる手法があるそうだ。

    うん、昔からね。

  • by Anonymous Coward on 2015年04月18日 14時34分 (#2799699)

    9999にしたのに

  • by Anonymous Coward on 2015年04月18日 14時47分 (#2799705)

    > 次に多いのが4桁の数字を末尾に付加したもの。
    誕生日だと4桁あっても366種類、生年だとユーザの年齢層からみて70種類程度(19XXとか20XXとか)

  • by Anonymous Coward on 2015年04月18日 14時49分 (#2799706)

    統計によれば人気のパスワードを試せば数パーセントのアカウントに侵入できると

    • by Anonymous Coward

      pasuwaado 案外行けそうな気が(何処に

      • by Anonymous Coward on 2015年04月18日 17時19分 (#2799770)

        >pasuwaado 案外行けそうな気が(何処に
        日本語をローマ字にするだけでも不正アクセスされる確率は一気に下がると 以前コメかタレコミにありましたね

        親コメント
        • by Anonymous Coward

          よし、今度から銀行の暗証番号をローマ数字にしよう(そうじゃない)

  • by Anonymous Coward on 2015年04月18日 15時53分 (#2799728)

    関係ないけど、金融機関のキャッシュカードが数字4桁を廃して、英数字8桁くらいにならないもんかね?

    #3回間違えると使用停止になるから良いのか・・・・・・な?

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...