掲示板

AIによるパスワードの解析時間をセキュリティ会社が公開。8桁なら7時間以内に解析完了

同社では、安全性の高いパスワードの要件として「15文字以上であること」、「アルファベットの大文字と小文字/数字/記号を含めること」、「3~6カ月ごとにパスワードを変更すること」を挙げたほか、「パスワードを使い回さない」運用を勧めている。

https://pc.watch.impress.co.jp/docs/news/1492292.html

解析過程で、試行錯誤でパスワードを入力しないんだろうか?
何度か入力したら、ロックされるだろうし、流石にAI解析といえども一発解除はできなさそうだけど…。

あと、記事にある「パスワードは3〜6ヶ月で変更」って点は、今までの通説とは逆な点が興味深いですね。


10 件のコメント
1 - 10 / 10
一般的なパスワードってなんだろう?

私が使ってるのは一般的?
それともそれ以外?

推測ってパスワードリストの絞込みでしょ?
1568万の1を1ヶ月で推測?
24時間ぶっ通しで1ヶ月もパスワードを入力し続けるのかな?
情報ありがとうございます(^o^)/
「15文字以上であること」
「アルファベットの大文字と小文字/数字/記号を含めること」
「3~6カ月ごとにパスワードを変更すること」

とてもではないが、当方のレベルでは管理、運用は不可能である。
>「8桁なら7時間以内に解析完了」

これってどついう条件なんだろう。
何度試してもロックされない環境化での話なのだろうか。

例えば、パスワード入力して一度でも間違えるとロックされて、7時間後にロック解除されるパスワード入力だったとしても、7時間以内に解析できるのだろうか。

7時間に1回しか試せないパスワード入力でも、解除ができるのだろうか。

つまり、一回で成功しなければ、次に試せるのは7時間後、つまり、7時間以内に解析出来なかったことになり、失敗となる。
よくわかりません。どうやってその解析されたパスワードが正しいということがわかるのでしょうか。
実際としては、試行して数回、数秒でロックされて解析不能、ではないでしょうか。
1回目、2回目、3回目ぐらいまでに、正しいパスワードが導き出せる解析、ならば、脅威だなと思いますが。
また「3-6ヶ月ごとにパスワードを変更する」という結論はどういう道筋で導き出される結論なのでしょうかね。関係ないように思います。
「3回程度間違えたらロックするシステムを使う」というほうが対策になるように思いました。
元の記事では、「推測できた」のであって「破った」わけではないですね。
つまり正解に辿り着いたか否かは未確定。
法的問題は別としても、実際に破った(正解できた)か否かはログインしてみないと判明しないし、一般的には、通常のブルートフォース法だとロックが掛かって正解に辿り付けないです。
逆ブルートフォース対策の大甘なサイトなら通用しますが。(正誤判定可能)
この推定時間は、そこそこ出来の良い攻撃用辞書やリストの作成できる時間ということでしょう。
パスワードの定期変更推奨は、推測され易いパスワードを誘発するから現在は非推奨ですが、現在でも定期変更を強制する企業はかなり存在します。
これは、社内だと起こり易いショルダーハック対策として、意図的に定期変更を推奨しているものと理解しています。だから結論部分には異論ありません。
> 「パスワードは3〜6ヶ月で変更」

これは昔の通説ですね。(^^;
近年は意味が無いと言われていることですが……。

>> Jijing さん

パスワードの定期的変更は、合成の誤謬的「正論」なのでしょう。
今でも理論的に「正論」ではあるのですが、それを強制しても、結果的に安易(本人は管理が容易・攻撃者は推測が容易)に流れるので、だったらそんなことしない方がマシではという発想です。
因みに本家「合成の誤謬」では、皆がどこから見ても正しいことをしたのに悪い結果ですが、こちらは動機や発想は正しくても現実の行動が安易に流れがちで悪い結果につながります。
ただ、社内ネットワークでは、同僚や部外者に絶対に見られずにパスワード入力するのは困難な場合もあるので、悪さをする同僚からの被害に遭わないためには、伝統的な定期的パスワード変更にも意味があると思います。
いずれにせよ、パスワードはある確率で漏れるものとの認識から、多要素認証が普及した現在では、一般的には「定期的変更は無意味」という認識になるかと思います。

>> p928gts さん

パスワード定期変更のメリットとしては、パスワードが漏れたかも知れない場合に「覗き見される期間を少なく出来る」という効果です。
産業スパイやストーカー案件には効果があるかも知れません。
社内犯罪にも効果があるかも知れません。
ただ、これは「乗っ取り」に対しては効果は薄いでしょう。パスワードが判明した時点ですぐに被害者のアカウントに進入し、犯人によってパスワードが変更されてしまうので、パスワード漏れや解析のいずれとしても定期変更の意味がない。

定期変更のデメリットとして、変更したパスワードが類似的、パターン化するという傾向にあるため、安易なものになりがちで安全性が落ちる。文字列を少なくしがちということもある。
安易なパスワードで、今も昔も解析されやすかったりします。
また、判りやすい所にPWを書き残しがちで、これはショルダーハック以前に情けない問題に。

現在推奨されるのは、頻繁な変更でも安易なPWは無く、長く複雑で強固なPWです。
合成の誤謬的「正論」というより、常識の変化なような気がします。
「量子コンピュータ登場に備えて、暗号化通信を集めている」ってウワサもあるみたいです。
結構ヤバい話なのかな…。
コメントするには、ログインまたはメンバー登録(無料)が必要です。