Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

パスワードは破られることが前提

8文字パスワードですら危ない。以前からPCの処理能力向上に伴い解読時間は早まると言われてきていましたが、パスワード使用の限界はインターネット公開のシステムにおいてはかなり近いかも知れません。

gigazine.net

 

セキュリティに関する研究を行っているハッカーのTinker氏は、NVIDIAの最新GPUであるGeForce RTX 2080 Tiとオープンソースのパスワードクラッキングツールである「hashcat」を組み合わせることで、8文字のWindowsパスワードをわずか2時間半で突破できると報告しています。

Gigazine記事より引用)

 

◆キタきつねの所感

世界最古のパスワードは?と言えば、議論の余地はあるとは思いますが、有名な「千夜一夜物語アラビアンナイト)」の1篇とされる「アリババと40人の盗賊」で出てくる『開けゴマ!(Open sesame!)を挙げる人は多いかと思います。

開けゴマ - Wikipedia

 

アリババは盗賊のパスワード(パスフレーズ『開けゴマ!』を窃取して、盗賊の洞窟から金貨を盗み出すのです。【パスワード漏洩問題】

アリババから金貨の入手法を聞いたカシムは、洞窟に入って金貨を得たところまでは良かったのですが、『開けゴマ!』を忘れてしまい洞窟に閉じ込められ、戻ってきた盗賊に殺されてしまったという説話です。

【パスワード忘れ問題】

 

イスラム世界における説話集を集めた「ハザール・アフサーナ」(千夜一夜物語の原形)はサーサーン朝に編纂されたとされていますので、3世紀~7世紀前の話についてアレコレ言うのはどうかと思いますが、ここで書きたかったのは、古き良き時代のパスワードですら漏洩(解読)問題を抱えていたという事です。

 

コンピュータのログインパスワードではない?と異論のある方もいるかもしれません。

初めてパスワードが導入されたコンピュータは、マサチューセッツ工科大学(MIT)が1961年に導入したタイムシェアリングシステム(CTSS)と言われています。CTSSでは計算能力の利用時間を制限する為に、パスワードが開発され、フェルナンド・コルバト教授がその開発に深く関与した事からパスワードの父と呼ばれています。

 

ところが、そのパスワードは意外な形で破られます。

wired.jp

 

(中略)

・・・しかし、早くも62年に、割り当てられた4時間が短すぎると不満を感じた学生、アラン・シェールがログインシステムを軽々とハックしてみせた。パスワードが記載されたファイルの場所を探し出し、内容をすべてプリントアウトしたのだ。こうして彼は思う存分コンピューターを使えるようになった。

(Wired記事より引用)

 

内部犯行により、わずか1年しか当初のパスワードは持ちませんでした。現代コンピュータのセキュリティの歴史は、この辺りから始まっているといっても過言ではないでしょう。

 

パスワードは破られる事を前提に考える。そうした思想が重要な時代である。それは歴史が教えてくれているのです。

 

 

余談となりますが、『開けゴマ!』(Open Sesame!)は、どうしてゴマだったのか?という所が分からないそうです。アリババに窃取されてしまいましたが、パスワード(フレーズ)としての複雑性の考え方は現代に通じるものがあるかも知れません。

パスワードの複雑性について、例えばカスペルスキーのブログでは、コードフレーズ(複数の単語を組み合わせたり、文章の形で作る事を良いやり方として挙げています。開けとゴマには何も関連がありませんが、こうした組み合わせの方が類推や、辞書攻撃にも耐えやすい様です。

blog.kaspersky.co.jp

 

 

ãã¹ã¯ã¼ããå¿ãã人ã®ã¤ã©ã¹ãï¼ã¹ããï¼

 

更新履歴

  • 2019年2月24日AM(予約投稿)