LinkedInのパスワード・クラッキングから得られた教訓
タレコミ by taraiok
taraiok 曰く、
既報の通り、6日にビジネス向けSNS「LinkedIn」のハッシュ化された状態のパスワードが流出した。これについて同社は9日、公式ブログで最新状況を報告しているが、漏れたのはパスワードのみで、パスワードに対応するメールアドレスは「公開されていない」としている(Internet Watch)。
セキュリティプロバイダ「Qualys」社の研究者「Francois Pesce」氏は、流出した120MBのファイルの解析を行ったところ、ファイルには645万8020個の情報が含まれていた。さらに、オープンソースのパスワードクラックツール「John the Ripper」とパスワードによく利用される4000個の単語を集めたパスワード辞書を組み合わせて、パスワード構造の統計分析を行ったところ、0.1%にあたる55万4404個のパスワードは「linkedin」という単語に関連しているのが分かったという(HELP NET SECURITY、本家/.)。
さらに判明したパスワードから、いくつかの母音を削除して、新しいスラングの単語を推測することを繰り返したところ、 linkedinの前に適当な単語を追加したもの、単語の途中に数字などを入れたものなどの規則的なパターンのパスワードが多く含まれていることが分かった。これは、ユーザーが精巧だと思ったパスワードを選んでも、単語と規則に基づいて作っている限り、ツールで解析することが可能であることを明確に示している。
「Francois Pesce」氏は指摘する。例えば、現在のLinkedInのパスワードが「MyPW4Linkedin」である場合、悪意のあるクラッカーなら「MyPW4Facebook」がFacebookのパスワードであると推測するのは簡単だ。今回の件で、パスワードを変更しようとする場合には単純なバリエーションで同じパスワードを使わないようにする注意が必要だろう。
LinkedInのパスワード・クラッキングから得られた教訓 More ログイン