Ashley Madisonのアカウント盗難事件が明かす‘愚かなパスワードは不滅です’

screen-shot-2015-08-19-at-1-10-47-pm

人気の不倫サイト(ただし女性の多くはボットだという説もある)Ashley Madisonの最近のハッキング事件は、数百万のアカウント情報が盗まれるという大規模な被害だったが、われわれに再び、あのおなじみの苦(にが)い良薬を服(の)ませてくれた。それは、パスワードは必ず暗号化されるけれども、暗号は愚かしいパスワードの愚かしさを救ってはくれない、という事実だ。

Ashley Madisonは、そのビジネスの実態が世間のひんしゅくを買ったが、ユーザのパスワードは確実に暗号化していたようだ。しかしbcryptでハッシュしたパスワードであっても、元のパスワードがたとえば、123456のように愚かなパスワードなら、簡単に見破られてしまう。

そして、どういう結果になるのか…

セキュリティ企業のAvastは、Ashley Madisonのアカウントデータベース(そこにはbcryptでハッシュされた3600万件のパスワードがある)から最初の100万件を取り出し、それらをパスワード解読ユーティリティhashcatでスキャンした。その結果25393件のユニークなハッシュの解読に成功し、そこに1064件のユニークなパスワードを見つけた。

ここで‘ユニーク’というのは、ものすごく複雑で解読困難、という意味ではなく、‘これまでに解読したものの中にはそれと同じものがない’、という意味だ。25393-1064=24329件のパスワードには、同じものが複数あったのだ。

同社は解読作業のために二つのよく知られているパスワードリストを使った。ひとつは2008年までのThe Top 500 Worst Passwords of All Time(もっとも多いパスワードのトップ500)、もうひとつは、2009年のRockYouのハックで流出した1400万件のパスワードだ。

これらのデータを利用して同社は、Ashley Madisonのパスワードのもっとも多いトップ20を解読した:

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. pussy
  7. secret
  8. dragon
  9. welcome
  10. ginger
  11. sparky
  12. helpme
  13. blowjob
  14. nicole
  15. justin
  16. camaro
  17. johnson
  18. yamaha
  19. midnight
  20. chris

結果は意外でもないが、でもなぜ、nicoleがそんなに多いのだろう?

Ashley Madisonの営業開始は2001年だから、最初の100万のユーザのアカウント情報といえば、ごく初期のユーザかもしれない。

だとするとそれを、最後の(最新の)100万と比べると、おもしろい結果が得られるだろう。そのほぼ15年のあいだに、パスワードの作り方は進歩し、賢くなっただろうか? Avastは、パスワードのデータベースは時系列でソートされていたと‘想定している’と言っているから、実態は不明だ。

でも、年月とは関係なく、一つだけ明らかなのは、人間はとりあえず、自分にとって覚えやすいパスワードを作ろうとすること。人間の脳はデータの貯蔵庫としてあまり高性能ではないから、どうしても、愚かなパスワードが増えてしまうのだ。この状況を修復するためには、新しいユーザ認証技術の登場、または、もっと覚えやすくて使いやすいパスワード技術の登場、どちらかが必要だ。〔関連記事(未訳)。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。