sima2*blog

ネットのよもやまをお茶の間に

破られたパスワードたち。

      2013/03/10

ソーシャルネットワークのLinkedInでパスワード流出がありましたが、そこで使われていたダメパスワードの実例があったので取り上げます。

『LinkedIn』等から約800万件のパスワードが流出した。自分のパスワードが流出・クラックされていないかを調べられるサイト『LeakedIn』では、人々が使っていたさまざまな「ひどいパスワード」を見ることができる。

情報流出でわかった「最悪なパスワード」たち « WIRED.jp 世界最強の「テクノ」ジャーナリズム

米国のサイトなので英語ベースですが、いかに安易なパスワード設定をしている人がいるか、というケーススタディになります。

「12345」というひどいパスワードはなかったが、それは単にLinkedInが6けた以上のパスワードを要求していたからにすぎない。流出パスワードのリストには、「123456」、「1234567」、「12345678」がちゃんと入っていた。「password」とならんで、最悪パスワードをいつも争っている面々だ。

まぁこれは問題外ですね。同様に「1111」とか。
あと英語圏なこともあり、覚えやすい単語の組み合わせ、センテンスになっているものもダメダメのようです。

「2011年の最悪パスワード25」(※)のリストに挙がっているものはすべて含まれていた。
そのほかにも、「ihatemyjob」(仕事がキライだ)、「fuckmylife」(俺の人生最悪)「nobama」(ノー・オバマ)、「iwantanewjob」(新しい仕事がほしい)などがあった。また不幸な求職者が少なくともひとり、「linkedinblows」(リンクトインむかつく)を使っていたようだ。「strongpassword」(強力なパスワード)さえもリークし、クラックされていた。

結構面白いパスワードを指定する人も多いんですね。けど面白い=意味が通っているものはダメだ、という話でもあります。うろ覚えですが、英語でも全く関連性のない言葉5つの組み合わせだと強度が凄く上がる、という話を聞いた事もあります。
けど最大の衝撃は、strongpasswordが破られたことかも・・・残念。次回はverystrongpasswordで勝負しますか。

「今回の事件が意味することのひとつは、クラックされた大量のパスワードのリストが存在し、そのリストは成長を続けているということだ」と、LeakedIn開発に携わったひとりであるウェブサイト・デザイナーのクリス・シフレットは語る。「これらはレインボーテーブル[ハッシュから平文を得るために使われるテクニック]をシードするのに使われるだろうし、次に流出が生じたときに、パスワードをクラックするための辞書をシードする際にも当然、選択されるだろう。次に流出するのが、よりよいアルゴリズムを採用しsalt[システムが保持している秘密のランダム文字列]が使われたハッシュであっても、今回クラックされたパスワードが再び安全になることはない」

ですね。こういう公開をする事は啓発する意味もありますが、悪用をさらに促進する意味もあって、けどこういう形ぐらいにでもしないとなかなか「123456」はなくならない・・・。

 - トピック , ,