徳丸さんのウェブセキュリティ講座から、引用
参考 https://youtu.be/D2ZK2z7hCj8?t=427
LinkedInのパスワード漏洩事例
Jeremi Gosney氏、540万件/650万件のハッシュを一週間で解読
monstorous machine with NVIDIA GTX 1080 Ti GPUx8 だと
(左: Gosney氏のマシン -> 右: 本機)
MD5 hash 180G/s -> 257G/s
SH1 hash 63G/s -> 95G/s
ref. https://www.servethehome.com/password-cracking-with-8x-nvidia-gtx-1080-ti-gpus/
パスワード認証に対する誤解
・オンラインクラックとオフラインクラックの混同
・LAN上の攻撃と、インターネットWebサイトに対する攻撃の混同
ほか
Adobe のパスワード漏洩事例
パスワード推測が容易だった背景は
「Adobeが対称鍵暗号を選択。ECBモード選択。全てのパスワードに同じ鍵。
ユーザが平文で保存していたパスワードのヒントが手掛かりに」 by Gosney氏
また同じパスワードの暗号化結果も同一だった。
まとめ
・ウェブサイトのパスワード管理に対する誤解
・オンラインクラックとオフラインクラックを区別しよう
・ウェブサイトに対してむやみに「総当たり攻撃(Brute Force Attack)」ができるわけではない
・なので、パスワードリスト攻撃(Credential Stuffig Attacks)のような効率の良い攻撃手法が使われる
・GPUによる高速なハッシュ値総当たりの脅威
・単純なハッシュ値ではパスワードを保護したことにならない
・ではどうすればよいか(続く。。。だそうです)
No comments:
Post a Comment