統計によるパスワードクラック

システムに侵入した攻撃者がデータベースダンプからパスワードを取得するには、パスワードハッシュをクラックする必要がある。パスワード解析には長い時間を要することもあるが、統計的な分析を取り入れることで効率を上げる手法があるそうだ(Praetorian Security Blogの記事、本家/.)。

現在ではユーザーに複雑なパスワードの作成が要求されるようになっており、システム側もより高度なハッシュアルゴリズムを使用するようになってきていることから、効率の良いパスワードクラック手法が必要となる。通常は短時間で完了する辞書の総当たりから始め、単語と数字や記号を組み合わせたハイブリッド方式、マルコフ連鎖によるパスワード生成など、より時間のかかるものを順に試していくことになる。しかし、大文字や数字、記号の位置、同じ文字種の連続といったパスワードの構造について、どれから試していくのかによって所要時間が大きく異なる。そこで、パスワードの構造を統計的に分析したものを利用することで、効率の良いパスワードクラックが可能になるという。

過去に流出した3,400万以上のパスワードについて構造を解析した結果、13種の構造のみで全パスワードの50%を占めていたそうだ。また、パスワードの作成時に求められる要件によっても、選択されるパスワード構造に偏りがみられるとのこと。たとえば、大文字のアルファベットを1文字以上使用することがパスワードの要件となっている場合、90%以上が大文字を1文字のみ、パスワードの先頭に使用するという。数字を含める必要がある場合、ほとんどのユーザーが2桁の数字をパスワードの末尾に付加しており、次に多いのが4桁の数字を末尾に付加したもの。末尾に3桁または1桁の数字を付加したものがこれに続く。

よく使われるパスワード構造を避けることで、統計によるパスワードクラックに強いパスワードを生成できるが、ランダムな構造にすると覚えにくくなってしまう。記事では2要素認証のパスワードマネージャーの使用を推奨している。皆さんはクラックされやすそうなパスワード構造を使用していないだろうか。　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | 統計

　関連ストーリー：
「パスワードの強度を判定」するツールにご注意を 2015年04月14日
教師のパソコンの壁紙を無断で変更したフロリダの中学生、重罪に問われる 2015年04月11日
IPA、パスワード強化を訴える「胸キュン」ポスターをJR原宿駅の大型看板に展示 2015年04月05日
NSAでも破れないが、覚えやすいパスフレーズ 2015年03月29日
WordPressプラグイン「WP-Slimstat」に致命的な脆弱性、暗号化パスワード漏洩の危険も 2015年02月27日
多くの人が「パスワードの管理疲れ」を体験している 2015年02月10日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
パスワードリスト攻撃によるdocomo IDへの不正ログインが6,072件発生 2014年10月03日
子供が安全にパスワードを保管するには？ 2014年09月27日
ANA、会員向けオンラインサービスのログイン用に8～16桁の「Webパスワード」を導入すると発表 2014年08月20日
パスワードを管理する新しい手法「PolyPassHash」が提案される 2014年04月08日
パスワード、どうやって管理している？ 2014年02月23日
記憶喪失からパスワードを守るには？ 2014年01月12日
パスワードがなくなる日、当分の間はやって来ない 2012年01月18日