 |
| Huffington post UKより。「パスワード解析が容易に」 |
15文字から55文字へ
oclHashcat-plusは、有名なhash crackingツールだ。
これまでの15文字までのhash解析から、先日のアップデートにより、一気に55文字の解析まで可能となった。
これで実質的に、パスワードは無意味、ということが確定した。
ハッシュとは
通常、企業のDBの中にユーザネームとパスワードの組み合わせが平文で保存される事はない。
一般的には、ユーザのパスワードに企業独自のキーワードを掛け合わせて生成したハッシュと呼ばれる英数字の羅列として保存される。
なぜ安全だったのか
ハッシュは元のパスワードの文字数とは一切関係なく、かなりの文字数の英数字の羅列として保存されている。
だから、ランダムに生成されたハッシュから元のパスワードを導きだすには、企業の秘密キーワードと、本来のパスワード自体の文字数などが必要になってくる。
これらをブルートフォース(総当たり)方式で当たっていけば、理論上正解は導きだせるが、解析を実行するPCのスペック上などの問題から、事実上は実現できなかった。
oclHashcat-plusが何を変えたか
このソフトは一般的にCPUより処理が速いとされるGPU(グラフィック処理)を多段に使用することをサポートし、かなり高速な計算を実現している。
そのパワフルな頭脳に加えて、数々の攻撃方法(例えば辞書攻撃、ルールベース攻撃など)とブルートフォース攻撃を組み合わせることによって、55文字までの解析を可能とした。
辞書攻撃を併用するため、これまで通り意味のない数字や記号を組み合わせたパスワードは辞書に載っている単語のパスワードよりも多少強力であることに違いない。
が、おそらくそんな事をぐだぐだ言っていても仕方ないくらいに解析速度が速いと考えられる。
身を守るために
まずは、ユーザIDとパスワードの組み合わせをWebサービス、Webサイトによって変更すべきだ。
例えばGoogleならこのID/PW、ヤフーならこっち、とサービスごとに変更するのが望ましい。
加えて、セキュリティニュースに敏感になった方がいい。
ハッキングのニュースが出るたびに、自分が登録していないWebサービスのサイトであっても、パスワードの変更であったり、アカウントログインの状況などを確認しておくべきだ。
サイバー攻撃の個人的被害に合う人は、ここ数年でかなり増えていて、金銭的被害に合った上、保証されないという人も増えている。
ただし、敏感になり、意識を高めるだけでアカウントハックのリスクはかなり下げられる。
何か一つのアカウントがハックされたとしても、芋づる式に自分が利用しているすべてのwebサービスを乗っ取られる危険性はかなり低くなる。
特にパソコンを使いこなす高齢世代は、金を持っているにもかかわらずセキュリティ意識が低い傾向にあるように思う。
0 件のコメント:
コメントを投稿