パスワードを管理する新しい手法「PolyPassHash」が提案される
2014年4月8日 07:00
あるAnonymous Coward 曰く、 パスワードの管理において、「PolyPassHash」と呼ばれる新しい管理手法が提案された(slashdot、論文PDF)。
この手法が提案通りに機能するならば、個別のパスワードを対象としたクラッキングがほぼ無効化されるようだ。またサービスを利用するユーザー側でなにかを変更する必要はなく、パスワードを保存・管理する側(サービス提供側)でこの手法を採用すればいいだけとのこと。
すでにCおよびPythonによる実装も公開されている。
安全性の高さの説明として、「6文字のランダム文字列のパスワードが3アカウント分あったとして、salt+なんらかのhashで保管されている場合は3つのパスワードすべてをクラックするのに1台のノートPCで1時間ほどの時間しかかからなかったが、 PolyPassHashで保管した場合は地球上の計算機資源をすべて使って宇宙の終わりまでアタックしてもクラックされることはない」とある。
PolyPassHashでは、パスワードのハッシュ値を単純に保存するのでは無く、Adi Shamir氏が提案した秘密分散法に基づいて分割・分散して保存することでセキュリティを高めるという。これにより、攻撃者は複数のパスワード群に対し同時にクラックを行わなければならなくなり、その困難さが大きく向上するという。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
MyJCBに不正アクセス、JCBカードのポイントがTポイントに交換される 2014年03月28日
イオン銀行が「秘密の質問」を導入 2014年03月26日
英大手ECサイトの66%が単純なパスワードの使用を許可している 2014年03月15日