Troy氏のPwned Passwordsの新バージョンが7/9に出ているのですが、日本ではあまり報じられていないのが気になります。
www.troyhunt.com
今日、さらに6か月間パスワードを収集した後、私はサービスのバージョン5をリリースします。この間に、私はそれらがプレーンテキストで利用可能にされた場所で65Mのパスワードを違反から集めました(私はこのサービスのためにパスワードを解読しません)。Pwned PasswordsはすでにV4の時点で551Mのレコードを持っているので、ますます新しいパスワードのコーパスは実際には非常に少数の新しいものを追加しているのでV5は追加のパスワードを提供します... 3,768,890。それほど比較してそれほど多くないように思えるかもしれません、しかし私の半年が過ぎたという私の美徳は私が既存の公共セットを現在の数に更新させたかったです。それはただ新しいものを追加するだけではありません、しかし、それらの65Mの出現はすべて以前に見られたパスワードのための既存の蔓延数に貢献します。
(TroyHunt氏のリリース内容から引用)※機械翻訳
◆キタきつねの所感
自分の使っているパスワードが、過去に(他人も含め)漏洩したパスワードかどうかを確認できるサイト、それがTroy氏が提供しているPwned Passwordsというサイトです。55億件も登録されていますので、重複しているパスワードや既に使われなくなったものも含まれているとは思いますが、よく使われそうなパスワードは既に登録されてしまっているので、漏洩したハッシュ値からの解読分も含め、パスワードリスト攻撃が行われる際には、こうした情報を元に行われてしまうので、被害を受けてしまう可能性を考慮すると、こうしたサイトでパスワード強度を確認する事は非常に重要です。
haveibeenpwned.com
今回追加されたパスワードは、378万件と今までのバージョンアップに比べて少ない・・・とも言えますが、最新のデータが追加されたという事には注意が必要かと思います。
Troy氏は、リリース記事に気を付けるべき点を書いてます。これらは2年前の注意点で、NISTの推奨とほぼ合致しますが、漏洩データを分析する側から見る考え方として、システム管理者の方々は重く受け止めるべき内容と言っても良いかも知れません。
ほぼ2年前のその日に、私はパスワードの進化について書いた:現代のための認証ガイダンス。それは私たちがどのようにについてNIST、NCSCおよびマイクロソフトの同類からのアドバイスの統合だったので、これはあまりない私に代わって、元の仕事だったはずです、今日の認証を行うこと。私はその作品が大好きです。なぜなら、その多くは、パスワードについての伝統的な考え方に直面して飛んでいるからです。例えば:
構成規則(大文字、小文字、数字など)を強制しないでください。
パスワードのローテーションを強制しない(数ヶ月ごとに強制的に変更する)
パスワードのヒントを実装しない
そして今日のここでの議論と最も関連性があるので、データ漏洩の危険にさらされているパスワードを人々に使用させないでください。
(Troy氏のリリース記事より引用)※機械翻訳
ただし、この3つの助言の中には「長くて覚えやすいパスフレーズ」というNIST推奨のもう1つの考え方は含まっていませんので、留意が必要です。
参考:
foxsecurity.hatenablog.com
リリース記事の中で少し気になった点があります。EVE OnlineがPwned Passwordsを利用して既存のパスワードをチェックしたコメントが掲載されていたのですが、
最初にチェックを実行したとき、約19%のログインがパスワードが十分に安全ではないというメッセージで迎えられました。今日、これはおよそ11-12%に落ち込んでいて、うまくいけば、下がり続けるでしょう。
海外事例ではありますが、20%弱が漏洩パスワードを使っていた、1事例だとしても驚異的な比率です。パスワードリスト攻撃にはもちろん、IDであるメールアドレスも揃わないと攻撃は成立しない訳ではありますが、いかにユーザが設定するパスワードが脆弱であるかを再認識させられます。
しかし、それは日本企業であっても同じ事なのではないでしょうか。
以下の辻さんの講演記事では「正しく怖がる」事が推奨されていますが、Troy氏のサイトからダウンロード可能なパスワードリストについてのサンプリング調査データとして、P2で
japan.zdnet.com
無償で幾つかの組織に提供しフィードバックをもらった。その数、934万件余り。そこから重複、実在しないものを排除すると約367万件となった。そして、そのうちパスワードが一致したものは3万9609件と全体の0.4%となった。これはリスト型攻撃の成功率と近しい数字であることが分かった」と、報道をうのみにせず影響を正しく理解することが重要だと指摘した。また、パスワードの流出を確認するにはウェブサイト「Have I Been Pwned?」で可能だと紹介した。
(ZDnet記事より引用)
という事を書かれています。もちろん仰る通りなのですが、55億件が母数だとすると、2200万件はIDとパスワードが一致する計算になります。この中には当然日本の組織のものも含まれる訳ですし、2200万件、これだけでも十分な脅威です。
また、メールアドレスは他の個人情報と合わせて新規流出が頻繁に続いている訳ですから、現在判明しているデータ以外の最新データとマッチングされる可能性(その際にパスワードが元のものが使われる可能性)を考えると、私はID+パスワードがマッチする「0.4%」ではなく、「19%」の潜在的な脆弱パスワードを怖がるべきだと思います。
脆弱なパスワードをシステム運用側がチェックする、上記のEVE Onlineの取り組みは、NISTでも掲載されている最良事例(ベストプラクティス)です。下記に漏洩辞書のダウンロード先を貼っておきますが、これらの辞書と比較する事で自社のパスワード強度(対策の必要性)についての理解が深まるかと思いますので、確認されるのも良いかと思います。
haveibeenpwned.com
尚、引用しませんが、上記辻さんの講演記事(p2)ではソフトバンク・テクノロジーの取り組みとして、NISTのガイドラインに変えた良い取り組みが書かれています。ご参考になる部分も多いのではないでしょうか。講演を聞かれてない方は、ご一読をおすすめします。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴