パスワードを忘れた? アカウント作成
17406994 story
情報漏洩

過去に利用された2つ以上のパスワードから、変更後のパスワードを推測する手法 47

ストーリー by nagazou
2パターンくらいの流出はよくある時代だからなあ 部門より
過去に使用された2つ以上のパスワードから、変更後のパスワードを推測することを可能にする「Pass2Edit」と呼ばれる新しい手法が発表された。この手法は中国の複数の大学の研究者によって開発されたもの(USENIXINTERNET Watch)。

ネット上に流出したパスワードから同じメールアドレスに紐付けられている二つ以上のパスワードを抽出。それらを比較して、ユーザーがパスワードを変更する際にどの部分をどのようなルールで変更しているかを機械学習を用いて推測する。この方法を用いることで、一般ユーザーの場合には平均24.2%、セキュリティに精通したユーザーの場合には11.7%という成功率でクラッキングができるという。研究者たちは、パスワードを単純なルールに基づいて変更し続けることがセキュリティに対して予想以上の脅威をもたらす可能性があると警鐘を鳴らしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年10月10日 22時27分 (#4543356)

    日本の企業にありがちな(というか弊社でやってる)パスワード定期更新&過去数回分重複不可&保存禁止ルールでびっくりするほど脆弱にできるってことですね。
    いやまぁこの話だと2回もパスワード漏らしてる時点で終わってるんですが。

    • by Anonymous Coward

      自分はログインするたび毎回変えるけどな。順位戦の棋譜とかをパスワードにするから使い切る心配もないし、一見ランダムだが意味がある文字列なので記憶も楽。

  • by Anonymous Coward on 2023年10月10日 17時22分 (#4543146)

    プロファイリングを避ける為には、定期的にメアド(またはキーとなるID)を変えようってことになるのかな?
    名前のメアドとか言語道断って事になって影響はデカいな。

    • by Anonymous Coward

      定期的に変更する必要はなくて十分な長さを持つ完全にランダムな文字列にするべきってこと

      • by Anonymous Coward

        「ネット上に流出したパスワードから同じメールアドレスに紐付けられている二つ以上のパスワードを抽出」に対して
        メアドを長いランダム文字列にすることは効果があるとは思えないな…

        • by Anonymous Coward

          いや、ランダムならこの方法で破られることはないでしょ。
          人間にランダムなパスワードを生成・運用する能力があるかどうかは別問題として・・・。

          • by Anonymous Coward

            #4543146はパスワードではなくメールアドレスの話をしていることに気づいてない…?

        • by Anonymous Coward

          「十分な長さを持つ完全にランダムな文字列にするべき」はパスワードのことだろうね。

          確かに律儀に読むとメアドをランダムにって解釈は無理ないけど
          「(メアドを)定期的に変更する必要はなくて(パスワードを)十分な長さを持つ完全にランダムな文字列にするべき」だろう。
          問題は推測が可能であることなのだから。

          • by Anonymous Coward

            パスワードの話はしていないコメントにそういう返信をするってことは、#4543154は#4543146の内容を理解せずに書いているってことだろ。
            おそらく「定期的に変更」ってだけでパスワードのことだと思い込んで、コメントタイトルすら見ていない。

            • by Anonymous Coward

              #4543146がメアドを定期的に変更すべき?とか無茶な仮定を置くからでしょ。
              そんな斜め上の対策考えなくてもパスワードが適切ならそれでいいんだよ。

        • by Anonymous Coward

          普通にメールアドレスもパスワードも変更する必要なくてパスワードが長ければいいって話
          万が一流出してレインボーテーブル攻撃されても十分に長いパスワードなら割り出せない

    • by Anonymous Coward

      パスワードの危険性について多少の注意喚起はしても、いざ顧客アカウントの作成となるとメールアドレスをユーザ名にする弊害を説くところはありませんよね…当然のようにID==メールアドレス

      • by Anonymous Coward
        んなこと言っても憶えてくれないんだもん
  • by Anonymous Coward on 2023年10月10日 17時26分 (#4543152)

    パスワード変えろと言われるので、パスワードの最後にYYMMを付加して更新している。

    • by Anonymous Coward

      自分は二つのパスワードを交互に使ってる。

      • by Anonymous Coward

        Microsoftアカウントが過去10回分のパスワードを弾くので、11回パスワード変更して、元のパスワードにしたでござる。

        • by nemui4 (20313) on 2023年10月11日 6時03分 (#4543444) 日記

          Microsoftアカウントが過去10回分のパスワードを弾くので、11回パスワード変更して、元のパスワードにしたでござる。

          ***01,***02,・・・,***11,***01
          こうですか

          親コメント
          • by Anonymous Coward

            そうじゃなくて
            1.元のパスワード
            2.~10.適当なパスワードに手動で即時変更(10回分のパスワード履歴をオーバーフローさせるため)
            11.「元のパスワード」に設定
            こうだと思います。

            私も「3回」のシステムならこれをやることがありますけど、10回はさすがにしんどいなぁ。

    • by Anonymous Coward

      まあいいんじゃない。
      そもそもそのシステムの過去のパスワードが漏れてたなら更新要求されてなかったら一網打尽だし。
      パスワード更新しないアカウントは三ヶ月でアクセス権失う訳だし。

    • by Anonymous Coward

      それはパスワードポリシーのショボイ情シスをディスってるの?褒めてるの?
      デフォルトだと、前回と同文字列が何文字とか、制限されてたよね?
      わざわざ緩めてるのかな?

      • by Anonymous Coward

        「前回と同文字列が何文字」ってパスワードがハッシュされていても分かるかな?
        そんなルールを運用しているサイトはまず信用しない方がよさそうだが。

        • by Anonymous Coward on 2023年10月10日 23時29分 (#4543386)

          俺も一瞬、それを思ったが、変更時に新旧のパスワードを入力するので、そのときに判定するんじゃないかと。

          親コメント
    • by Anonymous Coward

      オレガイル

  • by Anonymous Coward on 2023年10月10日 18時18分 (#4543202)

    脳内だけで演算できる変換ハッシュでパスワード作ってます。
    seedも個人的連想ワードなので、まず類推は不可能でしょうのことよ。
    問題は変更したりすると新旧の履歴が混乱する

    • by Anonymous Coward
      そんな脳内でできる程度の計算が機械学習で見抜かれないという保証は?
      • by Anonymous Coward

        見抜けるという根拠をお前があげるのが先

        • by Anonymous Coward

          アルゴリズムが書かれてないのに、どうやって根拠を上げるの?

          そもそも、大本のコメが不可能だと主張して、それホントかと問うているのが元コメなんで、
          主張している方が証明をするべき案件だろ。

      • by Anonymous Coward

        文章はある程度規則性あるから脳内ハッシュ程度のものなら解析されそうだけど、
        パスワードくらい規則性のないものなら変換前のパスワードが二つ以上どっかで抜かれない限りは大丈夫だと思う。

  • by Anonymous Coward on 2023年10月10日 19時00分 (#4543237)

    過去の流用禁止は5回ほどまでくらいのが多いので
    末尾に0~4とか
    末尾のアルファベットを順繰り次へとか
    !を追加していくとか
    そんなかんじじゃないかなぁ

    # 効果のない制度を強要する権威主義と事なかれ主義ほど生産性を声高に叫ぶ

    • by Anonymous Coward

      末尾のアルファベットを順繰り次へとか

      zまで行っちゃたよ。

      #Excel方式で継続中。

  • by Anonymous Coward on 2023年10月10日 19時14分 (#4543252)

    セキュリティに精通してるのに、こんな攻撃でクラックされるの?

    • by Anonymous Coward

      まあセキュリティに精通してても、パスワード保存先たちがソルトとかをちゃんとして保存してあるかは
      保存先をクラックできるくらい精通してないと確認できんし

      • by Anonymous Coward

        漏れたのは仕方ないとして、1割もやられるってどういうこと?ってことかと

      • by Anonymous Coward

        セキュリティに精通しているユーザなら、ルール生成のパスワードなんか使わんだろう。
        その場合は2か所からパスワードが漏れても他のパスワードを予測できないからこの攻撃は通用しない。

  • by Anonymous Coward on 2023年10月10日 19時43分 (#4543276)

    まあ以前から個人を特定して狙われたら突破されるけど、全ユーザー総当たりで弱い人を狙うなら大丈夫だよねー。
    ぐらいのつもりでこの一部書き換える運用してたから想定内ではあるんだけど。
    自動化されちゃうなら、いい加減1password的なのに移行するかなぁ。

  • by Anonymous Coward on 2023年10月10日 23時46分 (#4543394)

    パスワード管理ツールを買ってくれよう。
    それだけでこの手の問題はおおよそ解決するのになぜ一人あたり年数千円ほどのカネを使わないのか不思議でならん。

    • by Anonymous Coward

      パスワード管理ツールが信用できんからじゃ。
      どこかの保存するかぎり、ソコから漏れる可能性を考えずにはおれんのじゃ。

      といいつつプレーンテキストで保存してたりするが。

      • by nemui4 (20313) on 2023年10月11日 6時05分 (#4543445) 日記

        >といいつつプレーンテキストで保存してたりするが。

        付箋紙最強伝説

        親コメント
        • by ogino (1668) on 2023年10月11日 8時00分 (#4543468) 日記

          付箋紙最強伝説

          昔と違って今はパスワード使用サイトが一般人でも山ほどあるので、付箋紙はもうダメです。

          私はが年配の方にサイトごとに別々のパスワードを推奨するときには、パスワード管理ノートにランダムなものを記録しておくことを勧めています。

          それだけだとちょっと不用心だと思うので、覚えやすい単語2つと好きな記号で繋げて、とお願いしています。やっぱり長い方が良いので。eg.) sjioe2a=dog=cat

          たまにクソッタレなサイトで「英数字のみ・記号不可」とか「8文字以内」とかがあるので、全部がこれで通用したりはしないのですが、そういうイレギュラーがあっても管理ノートにメモとして書いておいてもらえば良いので、ノートは便利だと感じています。

          多要素認証でも良いのですが、やはり敷居が高い。

          話題の100均「パスワード管理ノート」ってアリ? セキュリティの専門家に聞いてみた! [allabout.co.jp]

          # 自分は自作ツール管理…

          親コメント
      • by Anonymous Coward

        なんかの弾みで消えること考えるとローカル環境にテキストで持っとくのはありだと思う

    • by Anonymous Coward

      そこはパワードレスじゃないんだ

    • by Anonymous Coward

      マシン換わったら終わりやん。
      今時osも色々あり、モバイル端末も電池持たなかったりするし。

  • 需要があるから開発されるんですね

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...