8/06/2016

頻繁なパスワード変更はロクでもないセキュリティ知識

シュナイアー御大は昔から言ってたぞ。企業の情報システム担当者はバカの一つ覚えのように定期的にパスワード変更を要求する。

私は長年それがロクでもないセキュリティ・アドバイスで、簡単なパスワードを助長すると言ってきた。今ではFTCのチーフ・テクノロジストのロリー・クレイナーが認める。

データを研究することで、研究者はアカウントの所有者がパスワードを変更する必要になった時に、使う一般的なテクニックが判明した。例えば、"tarheels#1"のようなパスワード(引用符を除く)は高い頻度で最初の変更後に"tArheels#1"になった。次が、"taRheels#1"に、その繰り返しである。あるいは、最初の変更が"tarheels#11"に変化し、次が"tarheels#111"となる。別の一般的なテクニックは、"tarheels#2"、"tarheels#3"、あとはその繰り返しで数字を置き換えていた。

「UNCの研究者は、もし人が90日毎にパスワードを変更する必要があったなら、彼らは 決まったやり方を使いがちで変形(transformation)を呼び出して実行すると語った。彼らは古いパスワードを選んで、少しだけ変更して、新しいパスワードを用意する。」とクレイナーは説明した。

研究者は高い精度で変更を予測できるアルゴリズムを開発するために明らかになった変形を用いた。その時、彼らはどのように行っているかを理解するために実際のクラッキングをシミュレートした。オンラインの攻撃では、標的となったネットワークを締め出す前に攻撃者はできるだけ多くの推量を作ろうとする。アルゴリズムは5回以下の試みで17パーセントのアカウントを破った。オフライン攻撃では超高速コンピュータを使って回収されたハッシュ値を使って実行したところ、変更されたパスワードの41パーセントが3秒以内に破られた。

そのデータはこの研究を参照している。

安全なパスワードを選ぶことへの私のアドバイスはここだ。