過去に利用された2つ以上のパスワードから、変更後のパスワードを推測する手法 47
ストーリー by nagazou
2パターンくらいの流出はよくある時代だからなあ 部門より
2パターンくらいの流出はよくある時代だからなあ 部門より
過去に使用された2つ以上のパスワードから、変更後のパスワードを推測することを可能にする「Pass2Edit」と呼ばれる新しい手法が発表された。この手法は中国の複数の大学の研究者によって開発されたもの(USENIX、INTERNET Watch)。
ネット上に流出したパスワードから同じメールアドレスに紐付けられている二つ以上のパスワードを抽出。それらを比較して、ユーザーがパスワードを変更する際にどの部分をどのようなルールで変更しているかを機械学習を用いて推測する。この方法を用いることで、一般ユーザーの場合には平均24.2%、セキュリティに精通したユーザーの場合には11.7%という成功率でクラッキングができるという。研究者たちは、パスワードを単純なルールに基づいて変更し続けることがセキュリティに対して予想以上の脅威をもたらす可能性があると警鐘を鳴らしている。
ネット上に流出したパスワードから同じメールアドレスに紐付けられている二つ以上のパスワードを抽出。それらを比較して、ユーザーがパスワードを変更する際にどの部分をどのようなルールで変更しているかを機械学習を用いて推測する。この方法を用いることで、一般ユーザーの場合には平均24.2%、セキュリティに精通したユーザーの場合には11.7%という成功率でクラッキングができるという。研究者たちは、パスワードを単純なルールに基づいて変更し続けることがセキュリティに対して予想以上の脅威をもたらす可能性があると警鐘を鳴らしている。
ありがちルール (スコア:1)
日本の企業にありがちな(というか弊社でやってる)パスワード定期更新&過去数回分重複不可&保存禁止ルールでびっくりするほど脆弱にできるってことですね。
いやまぁこの話だと2回もパスワード漏らしてる時点で終わってるんですが。
Re: (スコア:0)
自分はログインするたび毎回変えるけどな。順位戦の棋譜とかをパスワードにするから使い切る心配もないし、一見ランダムだが意味がある文字列なので記憶も楽。
定期的に変更すべきはメアド? (スコア:0)
プロファイリングを避ける為には、定期的にメアド(またはキーとなるID)を変えようってことになるのかな?
名前のメアドとか言語道断って事になって影響はデカいな。
Re: (スコア:0)
定期的に変更する必要はなくて十分な長さを持つ完全にランダムな文字列にするべきってこと
Re: (スコア:0)
「ネット上に流出したパスワードから同じメールアドレスに紐付けられている二つ以上のパスワードを抽出」に対して
メアドを長いランダム文字列にすることは効果があるとは思えないな…
Re: (スコア:0)
いや、ランダムならこの方法で破られることはないでしょ。
人間にランダムなパスワードを生成・運用する能力があるかどうかは別問題として・・・。
Re: (スコア:0)
#4543146はパスワードではなくメールアドレスの話をしていることに気づいてない…?
Re: (スコア:0)
「十分な長さを持つ完全にランダムな文字列にするべき」はパスワードのことだろうね。
確かに律儀に読むとメアドをランダムにって解釈は無理ないけど
「(メアドを)定期的に変更する必要はなくて(パスワードを)十分な長さを持つ完全にランダムな文字列にするべき」だろう。
問題は推測が可能であることなのだから。
Re: (スコア:0)
パスワードの話はしていないコメントにそういう返信をするってことは、#4543154は#4543146の内容を理解せずに書いているってことだろ。
おそらく「定期的に変更」ってだけでパスワードのことだと思い込んで、コメントタイトルすら見ていない。
Re: (スコア:0)
#4543146がメアドを定期的に変更すべき?とか無茶な仮定を置くからでしょ。
そんな斜め上の対策考えなくてもパスワードが適切ならそれでいいんだよ。
Re: (スコア:0)
普通にメールアドレスもパスワードも変更する必要なくてパスワードが長ければいいって話
万が一流出してレインボーテーブル攻撃されても十分に長いパスワードなら割り出せない
Re: (スコア:0)
パスワードの危険性について多少の注意喚起はしても、いざ顧客アカウントの作成となるとメールアドレスをユーザ名にする弊害を説くところはありませんよね…当然のようにID==メールアドレス
Re: (スコア:0)
三ヶ月ごとに (スコア:0)
パスワード変えろと言われるので、パスワードの最後にYYMMを付加して更新している。
Re: (スコア:0)
自分は二つのパスワードを交互に使ってる。
Re: (スコア:0)
Microsoftアカウントが過去10回分のパスワードを弾くので、11回パスワード変更して、元のパスワードにしたでござる。
Re:三ヶ月ごとに (スコア:1)
Microsoftアカウントが過去10回分のパスワードを弾くので、11回パスワード変更して、元のパスワードにしたでござる。
***01,***02,・・・,***11,***01
こうですか
Re: (スコア:0)
そうじゃなくて
1.元のパスワード
2.~10.適当なパスワードに手動で即時変更(10回分のパスワード履歴をオーバーフローさせるため)
11.「元のパスワード」に設定
こうだと思います。
私も「3回」のシステムならこれをやることがありますけど、10回はさすがにしんどいなぁ。
Re: (スコア:0)
まあいいんじゃない。
そもそもそのシステムの過去のパスワードが漏れてたなら更新要求されてなかったら一網打尽だし。
パスワード更新しないアカウントは三ヶ月でアクセス権失う訳だし。
Re: (スコア:0)
それはパスワードポリシーのショボイ情シスをディスってるの?褒めてるの?
デフォルトだと、前回と同文字列が何文字とか、制限されてたよね?
わざわざ緩めてるのかな?
Re: (スコア:0)
「前回と同文字列が何文字」ってパスワードがハッシュされていても分かるかな?
そんなルールを運用しているサイトはまず信用しない方がよさそうだが。
Re:三ヶ月ごとに (スコア:1)
俺も一瞬、それを思ったが、変更時に新旧のパスワードを入力するので、そのときに判定するんじゃないかと。
Re: (スコア:0)
オレガイル
Re: (スコア:0)
同じパスを別のサイトで使っていて、1カ所が漏れたら他を全部侵入できるので、使い回しとセットで設定しているならを追加してね。
脳内ハッシュ (スコア:0)
脳内だけで演算できる変換ハッシュでパスワード作ってます。
seedも個人的連想ワードなので、まず類推は不可能でしょうのことよ。
問題は変更したりすると新旧の履歴が混乱する
Re: (スコア:0)
Re: (スコア:0)
見抜けるという根拠をお前があげるのが先
Re: (スコア:0)
アルゴリズムが書かれてないのに、どうやって根拠を上げるの?
そもそも、大本のコメが不可能だと主張して、それホントかと問うているのが元コメなんで、
主張している方が証明をするべき案件だろ。
Re: (スコア:0)
文章はある程度規則性あるから脳内ハッシュ程度のものなら解析されそうだけど、
パスワードくらい規則性のないものなら変換前のパスワードが二つ以上どっかで抜かれない限りは大丈夫だと思う。
だいたいこんなん (スコア:0)
過去の流用禁止は5回ほどまでくらいのが多いので
末尾に0~4とか
末尾のアルファベットを順繰り次へとか
!を追加していくとか
そんなかんじじゃないかなぁ
# 効果のない制度を強要する権威主義と事なかれ主義ほど生産性を声高に叫ぶ
Re: (スコア:0)
zまで行っちゃたよ。
#Excel方式で継続中。
セキュリティに精通したユーザーとは (スコア:0)
セキュリティに精通してるのに、こんな攻撃でクラックされるの?
Re: (スコア:0)
まあセキュリティに精通してても、パスワード保存先たちがソルトとかをちゃんとして保存してあるかは
保存先をクラックできるくらい精通してないと確認できんし
Re: (スコア:0)
漏れたのは仕方ないとして、1割もやられるってどういうこと?ってことかと
Re: (スコア:0)
セキュリティに精通しているユーザなら、ルール生成のパスワードなんか使わんだろう。
その場合は2か所からパスワードが漏れても他のパスワードを予測できないからこの攻撃は通用しない。
俺アウト (スコア:0)
まあ以前から個人を特定して狙われたら突破されるけど、全ユーザー総当たりで弱い人を狙うなら大丈夫だよねー。
ぐらいのつもりでこの一部書き換える運用してたから想定内ではあるんだけど。
自動化されちゃうなら、いい加減1password的なのに移行するかなぁ。
けちってないで (スコア:0)
パスワード管理ツールを買ってくれよう。
それだけでこの手の問題はおおよそ解決するのになぜ一人あたり年数千円ほどのカネを使わないのか不思議でならん。
Re: (スコア:0)
パスワード管理ツールが信用できんからじゃ。
どこかの保存するかぎり、ソコから漏れる可能性を考えずにはおれんのじゃ。
といいつつプレーンテキストで保存してたりするが。
Re:けちってないで (スコア:1)
>といいつつプレーンテキストで保存してたりするが。
付箋紙最強伝説
Re:けちってないで (スコア:2)
付箋紙最強伝説
昔と違って今はパスワード使用サイトが一般人でも山ほどあるので、付箋紙はもうダメです。
私はが年配の方にサイトごとに別々のパスワードを推奨するときには、パスワード管理ノートにランダムなものを記録しておくことを勧めています。
それだけだとちょっと不用心だと思うので、覚えやすい単語2つと好きな記号で繋げて、とお願いしています。やっぱり長い方が良いので。eg.) sjioe2a=dog=cat
たまにクソッタレなサイトで「英数字のみ・記号不可」とか「8文字以内」とかがあるので、全部がこれで通用したりはしないのですが、そういうイレギュラーがあっても管理ノートにメモとして書いておいてもらえば良いので、ノートは便利だと感じています。
多要素認証でも良いのですが、やはり敷居が高い。
話題の100均「パスワード管理ノート」ってアリ? セキュリティの専門家に聞いてみた! [allabout.co.jp]
# 自分は自作ツール管理…
Re: (スコア:0)
なんかの弾みで消えること考えるとローカル環境にテキストで持っとくのはありだと思う
Re: (スコア:0)
そこはパワードレスじゃないんだ
Re:けちってないで (スコア:1)
何かは今ひとつ分からないが何らかのSFチックな何かな感じだな。
Re: (スコア:0)
マシン換わったら終わりやん。
今時osも色々あり、モバイル端末も電池持たなかったりするし。
この手法は中国の複数の大学の研究者によって開発されたもの (スコア:0)
需要があるから開発されるんですね