パスワードを忘れた? アカウント作成
10200397 story
セキュリティ

Adobeから漏洩した3000万以上のアカウント情報からのパスワード解析方法 31

ストーリー by hylom
暗号化しても平易なパスワードは危険 部門より
insiderman 曰く、

先日、Adobeが同社サービスなどで利用しているAdobe IDに関連する情報が大規模に流出する事件があった。流出した情報はアカウントIDや暗号化されたパスワードなどだが、この暗号化されたパスワードから実際のパスワードを解析する手法について、徳丸浩氏が解説している。

詳しくは元記事を参照してほしいが、Adobeが使用していた暗号化方式は「平文パスワードが同じであれば暗号化パスワードも同じになる」というものであったため、たとえば同じ暗号化パスワードが多く存在していたら、そのパスワードは「password」や「123456」といった多く使われているパスワードの可能性が高い、といった推測と簡単な攻撃で平文パスワードを取得できる可能性が高かった模様。さらに、「パスワードのヒント」については平文で保存されていた、という問題もあったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by paprika (5024) on 2013年11月12日 20時03分 (#2494422) 日記

    ログインIDを元にソルトや疑似乱数の種にしてなかったのだろうか。普通、常識的にそういう実装にするんじゃないの?

    • Re:簡易暗号 (スコア:2, 参考になる)

      by Anonymous Coward on 2013年11月12日 22時19分 (#2494490)

      とりあえず徳丸おじさんが解説してくれてるので,読んでみるといいんじゃないでしょうか.

      http://blog.tokumaru.org/2013/11/adobe.html [tokumaru.org]

      親コメント
    • by Anonymous Coward

      そういう常識的な実装をしてなかったからここまで騒ぎになってるわけで。

    • by Anonymous Coward

      パスワードの保存方法については規格らしいものがないんだよね。
      PBKDF2とか推したい。

    • by Anonymous Coward

      バイト先の給与システムは、パスワードが英数字8桁以下に限定で、かつ暗号化・ハッシュ化がされずに保存されてるよ
      これでもこの春くらいに新しく作られたシステムなんだが、いくらなんでもセキュリティ甘すぎだろと…

      • by Anonymous Coward

        システムよりバイトによる情報漏洩リスクのほうが高い。

        • by Anonymous Coward

          パスワードリストより生の個人情報の方が需要あるよね。

      • by Anonymous Coward

        すごい。

        # 8桁以下だと機能が限定され、ハッシュ化してくれないのかとてっきり。

    • by Anonymous Coward

      後知恵で上から目線って何のリスクもなくいい気分に浸れてすごくいいストレス解消になるよね。
      # 普通、常識的に「123456」なんてパスワード使うわけないよね。

      • by Anonymous Coward

        ソルトを使うのが後知恵ってあんた。

    • by Anonymous Coward

      昔、PDFのRC4の暗号化でも、なんかなかった?

  • by Anonymous Coward on 2013年11月12日 21時26分 (#2494461)

    ECBについては英語版Wikipedia [wikipedia.org]を見るとこりゃダメだろと一目瞭然。数年前、某社のUSBメモリ暗号化ソフト(有料)もこれ使ってて笑いました。
    ディスク暗号 [wikipedia.org]はもうちょっと複雑で、XTSが一番良さげ。Linuxのcryptsetupの既定はCBCなんで、HDD交換のときなんかはXTSオプション付きで初期化します。

    • by Anonymous Coward

      今回漏れたのは、多分DES-EDE/ECBなんだろうけど、パスワードは長さが知れてるからブロック長が128bitのアルゴリズム使えばECBで問題無いでしょ。

  • by Anonymous Coward on 2013年11月12日 19時27分 (#2494408)

    公開していないアカウント用のメールアドレスにSPAM来ました。
    変更する手間とか、どうしてくれるの言いたい。本当に言いたい。
    このアカウントのパスワードは結構難解なはず。

    「どうしてくれるのさ」とここで発言してもしょうがないけど、
    本当に面倒。

    • Re:SPAM来たよ。 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2013年11月12日 23時34分 (#2494535)

      情報漏えい、あなたはどこから?私はメッセサンオーから。

      親コメント
    • by Anonymous Coward

      パスワードの解読とメールアドレスは無関係でしょ
      解読しなきゃメールアドレスが分からないならともかく、
      どう考えてもメールアドレスは平文保存だよね。
      そうしなきゃパスワード再設定のメールも送信しようがなくなるわけだし。

      • by Anonymous Coward

        それに、このタイミングだからと言って「漏洩したものが使われた」が100%じゃないし。
        パスワードが知られたことに比べれば、スパムが来たなんて何でもないよなあ。

        • by Anonymous Coward

          俺の所にもadobeにしか渡してないメールアドレスに迷惑メールが来だしたわ。

          • by Anonymous Coward on 2013年11月12日 23時00分 (#2494510)

            俺も。
            Adobeでしか使ってなくて、このタイミングで急に来はじめたこと、アドレスの一部がランダムなので類推は困難なことを考えると、
            Adobeから漏れた可能性が極めて大。
            独自ドメインでメールアドレス作り放題だったことが役に立った(w

            親コメント
            • by Anonymous Coward

              ほとんど同じだ。
              Adobe専用に作って、しかも普通思いつかない文字列を仕込んでいたメールアドレスに
              11月5日以降ぽつりぽつり来始めている。
              同様の仕込み入りアドレスを10以上持っているが、adobe用以外には来ていない。

        • by Anonymous Coward

          一か所でしか使ってないパスワードこそ何でもないわ

    • by Anonymous Coward

      スパムメーカーのホーメルフーズはSPAMと大文字で書くのは彼らの商標だから、
      迷惑メールのことをそう書くな、小文字で書いてほしいと言っておられますよ。

    • by Anonymous Coward

      こんにちは。こちらは一日15通ぐらいSPAM来てます。
      こちらはAdobe以外でも使っていたメールアドレスだったので、
      メールアドレス変更です...。
      おかげさまで、PSN(ソニーのプレイステーションのサービス)に不正アタックされ、
      パスワードをリセットしたと通知が来ました。おそらく今回の流出でしょう。

      ちなみにAdobeからは英語のパスワード変更のメールが一度来ただけ。
      日本法人(ありますよね?)何やってるんだろ...。

  • by Anonymous Coward on 2013年11月13日 6時28分 (#2494582)

    単純に文字を置換した暗号の解読法(英文だと「e」の頻度が一番高いから、
    一番頻度の高い文字が「e」の可能性が高いetc,)と一緒ですな

  • by Anonymous Coward on 2013年11月13日 16時50分 (#2494938)

    Adobeの場合は、利用者が思い出せるようにオプションでヒントを書いておける入力箇所だったので違うんだけど、
    「パスワードのヒント」を必須入力項目にしているシステムは廃止して欲しい。
    「親の旧姓は?」とか「ペットの名前は?」とか。

    何も考えなければ利用者は推測しやすい内容を入力するから、システムが脆弱になるだけだと思うんだけど、なんで
    必須にしているものがあるんだろう?
    オプションでの入力なら、まだいいとは思うけれど。

    • by Anonymous Coward

      と言うより、システム自体がパスワードを復号できるのが嫌かな。
      自分の場合、サイト毎に違うパスワード設定とかやりたくないから、極力同じパスワードを使い回すけど、そういう所では漏れても良いパスワードしか使わない。
      逆にパスワード忘れた場合にリセットしかできないサイトなら、普段使ってるパスワード(辞書に無いし、桁が多いからハッシュで割り出すのは難しい)を使う。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...