LinkedIn のパスワード・クラッキングから得られた教訓
2012年6月14日 11:20
taraiok 曰く、
既報の通り、6 日にビジネス向け SNS「LinkedIn」のハッシュ化された状態のパスワードが流出した (/.J 記事)。これについて同社は 9 日、公式ブログで最新状況を報告しているが、漏れたのはパスワードのみで、パスワードに対応するメールアドレスは「公開されていない」としている (Internet Watch の記事より) 。
セキュリティプロバイダ Qualys 社の研究者 Francois Pesce 氏は、流出した 120 MB の zip 圧縮されたファイルの解析を行ったところ、ファイルには 645 万 8020 個の情報が含まれていた。さらに、オープンソースのパスワードクラックツール「John the Ripper」とパスワードによく利用される 4,000 個の単語を集めたパスワード辞書を組み合わせてパスワード構造の統計分析を行ったところ、0.1 % にあたる 55 万 4404 個のパスワードは「linkedin」という単語に関連しているのが分かったという (HELP NET SECURITY の記事、本家 /. 記事より) 。
判明したパスワードからいくつかの母音を削除して新しいスラングの単語を推測することを繰り返したところ、 linkedin の前に適当な単語を追加したもの、単語の途中に数字などを入れたものなどの規則的なパターンのパスワードが多く含まれていることが分かった。これは、ユーザーが精巧だと思ったパスワードを選んでも、単語と規則に基づいて作っている限り、ツールで解析することが可能であることを明確に示している。例えば、現在の LinkedIn のパスワードが「MyPW4Linkedin」である場合、悪意のあるクラッカーなら「MyPW4Facebook」が Facebook のパスワードであると推測するのは簡単だ。今回の件で、パスワードを変更しようとする場合には単純なバリエーションで同じパスワードを使わないようにする注意が必要だろう。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
MySQL/MariaDBにバグ、256分の1の確率で間違ったパスワードでも認証されてしまう 2012年06月13日
LinkedInから650万件のパスワードが漏洩か 2012年06月07日
ユーザー名とパスワードを含む大量のTwitterアカウント情報が流出? 2012年05月09日
複数単語のパスワードがあれば、ネットは本当に安全なの? 2012年03月16日
シリア大統領府、スタッフの多くが「12345」をパスワードとして使用 2012年02月12日
パスワードがなくなる日、当分の間はやって来ない 2012年01月18日