パスワード\(^o^)/オワタ

  • 投稿日:
  • by グラボー難民

ちょっと前のネタですが、大事なことだと思うので取り上げてみました。

現在使用されているパスワードは、一般的に6~8桁だといわれています。
※ソースが定かではないのですが、確かIPAだったと思う...

そのパスワードですが、システムにはハッシュ値(パスワードを非可逆的な関数で処理した値)の形で保存されています。
で、そのハッシュ値が漏れた場合において、(WindowsのNTLM hash場合)最新のGPUを積んだPCなら、どんなに複雑でも8桁のパスワードなら、2時間半程度でハッシュ値の総当たりを完了してしまい暴かれてしまうそうです。\(^o^)/オワタ

実際hashcatというオープンソースのツールと、CUDAをインストールすればだれでも簡単に環境が構築できてしまうというところもマズいところです。

生体認証やら2要素やらで補強しないとダメな理由がこれなんだそうで、それが出来ない場合、パスワードをもっと長くすることが推奨されています。
パスワードではなく、パス「フレーズ」にしようというのが、その動きです。

例えば、昔は
「焼きそば→yakisoba」
程度で済ませてたところを、
「焼きそば食べたい特に広島風の奴。素人にはお勧めできない。→yakisobatabetaitokunihirosimahuunoyatu.siroutonihaosusumedekinai.」
みたいな感じです。

ぶっちゃけ、記号だろうが英数字だろうが、それが入る入ってないがバレない前提であれば、攻撃者側は含まれているだろうという推測で攻撃するはずで、
実際英数字記号とか言い始めた人も間違ってたということを認めているようです。

【参考】Gigazine - 「8文字のWindowsパスワードはわずか2時間半で突破可能と判明」https://gigazine.net/news/20190215-windows-ntlm-password-cracked-quickly/
【参考】Gigazine - 「パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める」https://gigazine.net/news/20170810-password/

皆さんの組織のパスワードポリシーも、そろそろ見直しの時期に入ってきたのではないでしょうか?