再利用や共有、パターンなどが複雑なパスワードを台無しにする
2017年3月14日 19:13
headless 曰く、 過去にLinkedInから流出したパスワードについてセキュリティ企業Preemptが調査したところ、約35%にあたる63,588,381件が既にパスワードクラック用の辞書に含まれるものだったそうだ(Preemptのブログ、BetaNews)。
Preemptでは具体的な流出時期などを明記していないが、件数からみて2012年に発生したLinkedInの情報流出に伴って取得され、昨年5月に1億6,700万件が販売されていると報じられたアカウント情報のようだ。
パスワードクラック用の辞書に載っているのであれば、パスワードの複雑さは意味をなさない。パスワードを再利用する人も多いため、過去に流出したパスワードを再度設定してしまう可能性もある。組織内のシステムではパスワードの有効期限が無効化されていることも多く、複数のユーザーがパスワードを共有したり、そのパスワードを外部サービスに設定したりすることで、パスワードが流出する可能性や、既に流出しているパスワードを使用する可能性が増す。
また、パスワードには大文字小文字の英字と記号、数字(ULSD)を組み合わせることが推奨されるが、大文字から始めて数字で終わるといったパターンが多くのパスワードで使われているという。個人的なデータや日常的に使われる単語を含める人も多い。そのため、企業内のパスワードの大半は、上位100パターンでクラックできるものが多いそうだ。
Preemptの調査によれば、特にセキュリティに注力している組織を除き、90%以上の組織が8桁よりも長いパスワードを要求せず、10桁以内のパスワードが多く使われているとのこと。標準的なハードウェアでULSDを組み合わせた10桁のパスワードをクラックするのに要する時間は、よくあるパターンを使ったものでは1週間以内なのに対し、よくあるパターンを避けたものでは1か月近くかかるとのことだ。