不倫サイトから流出したパスワードの解析が進む、罪悪感や言い訳のようなフレーズも多数

headless 曰く、　 Ashley Madisonから流出した3,600万件以上のアカウント情報から、パスワードクラックが進められている。既に1,170万件以上のパスワードをクラックしたというCynoSure Primeというグループによれば、使うべきではない弱いパスワードとして紹介されることの多い人気パスワードが上位を占めている一方で、サイト利用者の心情を表すような興味深いパスワードも数多く見つかっているそうだ（CynoSure Prime: クラック手法の解説、クラックされたパスワードの解説、Ars Technicaの記事[1]、[2]、[3]）。

　Ashley Madisonのパスワードハッシュ生成にはbcryptが使われており、すべてのパスワードをクラックするには何世紀もかかるとみられていた。しかし、CynoSure Primeはソースコードを解析し、「$loginkey」と名付けられたハッシュ値の生成にMD5が使われていることを発見。こちらをクラックすることにより、数日で数百万件のクラックに成功している。

　パスワードはMD5ハッシュ生成前にすべて小文字に変換されているため、bcryptを使用したパスワードハッシュとの照合が必要となる。ただし、実際には大半が小文字のみか小文字と数字の組み合わせだったようだ。なお、2012年6月以降はパスワードを事前にbcryptで処理してからMD5ハッシュを生成するように変更されているが、1,500万件以上のハッシュは変更以前に生成されたものだという。

　興味深いパスワードの例としては、「ishouldnotbedoingthis」といった罪悪感を示すものや、「justcheckingitout」のように言い訳じみたもの、サービスの実態に気付いた「theywererobots」といったものがあるという。また、「mypasswordispassword」のように「password」に単語を追加して強くしたと思っているようなものや、xkcdで紹介されている強いパスワードを生成する方法の例「correcthorsebatterystaple」をそのまま使っているものもある。

　パスワードの長さは1～28文字で、6～8文字が大半を占める。非常に長いパスワードの中には、ユーザー名やメールアドレスをそのまま使用しているものもあったという。別途、ユーザー名とパスワードが一致するアカウントを調べたところ、3,600万件中63万件が一致したそうだ。また、ユニークなパスワードは486万件ほどで、一番人気は「123456」。以下、「12345」「password」「DEFAULT」「123456789」「qwerty」「12345678」「abc123」「pussy」「1234567」が続く。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | idle | 暗号 | 情報漏洩

　関連ストーリー：
サイバー攻撃で利用者情報が流出した「不倫サイト」、実際には女性はほとんど居なかった？ 2015年08月28日
既婚者向けSNSから3700万人超の会員情報が流出 2015年07月22日
統計によるパスワードクラック 2015年04月18日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
「最悪なパスワード」、2013年版トップは「123456」 2014年01月22日
phpbb.comから流出したパスワード、その傾向は？ 2009年03月14日
「よく使われる危険なパスワードTop500」にご注意を 2009年01月06日