ashley madison
Passwords

Ashley Madisonのアカウント盗難事件が明かす‘愚かなパスワードは不滅です’

次の記事

Appleは人工知能と機械学習関連のエンジニアの採用を強化する予定

人気の不倫サイト(ただし女性の多くはボットだという説もある)Ashley Madisonの最近のハッキング事件は、数百万のアカウント情報が盗まれるという大規模な被害だったが、われわれに再び、あのおなじみの苦(にが)い良薬を服(の)ませてくれた。それは、パスワードは必ず暗号化されるけれども、暗号は愚かしいパスワードの愚かしさを救ってはくれない、という事実だ。

Ashley Madisonは、そのビジネスの実態が世間のひんしゅくを買ったが、ユーザのパスワードは確実に暗号化していたようだ。しかしbcryptでハッシュしたパスワードであっても、元のパスワードがたとえば、123456のように愚かなパスワードなら、簡単に見破られてしまう。

そして、どういう結果になるのか…

セキュリティ企業のAvastは、Ashley Madisonのアカウントデータベース(そこにはbcryptでハッシュされた3600万件のパスワードがある)から最初の100万件を取り出し、それらをパスワード解読ユーティリティhashcatでスキャンした。その結果25393件のユニークなハッシュの解読に成功し、そこに1064件のユニークなパスワードを見つけた。

ここで‘ユニーク’というのは、ものすごく複雑で解読困難、という意味ではなく、‘これまでに解読したものの中にはそれと同じものがない’、という意味だ。25393-1064=24329件のパスワードには、同じものが複数あったのだ。

同社は解読作業のために二つのよく知られているパスワードリストを使った。ひとつは2008年までのThe Top 500 Worst Passwords of All Time(もっとも多いパスワードのトップ500)、もうひとつは、2009年のRockYouのハックで流出した1400万件のパスワードだ。

これらのデータを利用して同社は、Ashley Madisonのパスワードのもっとも多いトップ20を解読した:

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. pussy
  7. secret
  8. dragon
  9. welcome
  10. ginger
  11. sparky
  12. helpme
  13. blowjob
  14. nicole
  15. justin
  16. camaro
  17. johnson
  18. yamaha
  19. midnight
  20. chris

結果は意外でもないが、でもなぜ、nicoleがそんなに多いのだろう?

Ashley Madisonの営業開始は2001年だから、最初の100万のユーザのアカウント情報といえば、ごく初期のユーザかもしれない。

だとするとそれを、最後の(最新の)100万と比べると、おもしろい結果が得られるだろう。そのほぼ15年のあいだに、パスワードの作り方は進歩し、賢くなっただろうか? Avastは、パスワードのデータベースは時系列でソートされていたと‘想定している’と言っているから、実態は不明だ。

でも、年月とは関係なく、一つだけ明らかなのは、人間はとりあえず、自分にとって覚えやすいパスワードを作ろうとすること。人間の脳はデータの貯蔵庫としてあまり高性能ではないから、どうしても、愚かなパスワードが増えてしまうのだ。この状況を修復するためには、新しいユーザ認証技術の登場、または、もっと覚えやすくて使いやすいパスワード技術の登場、どちらかが必要だ。〔関連記事。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa