Adobeから漏洩した3000万以上のアカウント情報からのパスワード解析方法 31
ストーリー by hylom
暗号化しても平易なパスワードは危険 部門より
暗号化しても平易なパスワードは危険 部門より
insiderman 曰く、
先日、Adobeが同社サービスなどで利用しているAdobe IDに関連する情報が大規模に流出する事件があった。流出した情報はアカウントIDや暗号化されたパスワードなどだが、この暗号化されたパスワードから実際のパスワードを解析する手法について、徳丸浩氏が解説している。
詳しくは元記事を参照してほしいが、Adobeが使用していた暗号化方式は「平文パスワードが同じであれば暗号化パスワードも同じになる」というものであったため、たとえば同じ暗号化パスワードが多く存在していたら、そのパスワードは「password」や「123456」といった多く使われているパスワードの可能性が高い、といった推測と簡単な攻撃で平文パスワードを取得できる可能性が高かった模様。さらに、「パスワードのヒント」については平文で保存されていた、という問題もあったという。
簡易暗号 (スコア:1)
ログインIDを元にソルトや疑似乱数の種にしてなかったのだろうか。普通、常識的にそういう実装にするんじゃないの?
Re:簡易暗号 (スコア:2, 参考になる)
とりあえず徳丸おじさんが解説してくれてるので,読んでみるといいんじゃないでしょうか.
http://blog.tokumaru.org/2013/11/adobe.html [tokumaru.org]
Re: (スコア:0)
そういう常識的な実装をしてなかったからここまで騒ぎになってるわけで。
Re: (スコア:0)
パスワードの保存方法については規格らしいものがないんだよね。
PBKDF2とか推したい。
Re: (スコア:0)
バイト先の給与システムは、パスワードが英数字8桁以下に限定で、かつ暗号化・ハッシュ化がされずに保存されてるよ
これでもこの春くらいに新しく作られたシステムなんだが、いくらなんでもセキュリティ甘すぎだろと…
Re: (スコア:0)
システムよりバイトによる情報漏洩リスクのほうが高い。
Re: (スコア:0)
パスワードリストより生の個人情報の方が需要あるよね。
Re: (スコア:0)
すごい。
# 8桁以下だと機能が限定され、ハッシュ化してくれないのかとてっきり。
Re: (スコア:0)
後知恵で上から目線って何のリスクもなくいい気分に浸れてすごくいいストレス解消になるよね。
# 普通、常識的に「123456」なんてパスワード使うわけないよね。
Re: (スコア:0)
ソルトを使うのが後知恵ってあんた。
Re: (スコア:0)
昔、PDFのRC4の暗号化でも、なんかなかった?
ブロック暗号モード (スコア:1)
ECBについては英語版Wikipedia [wikipedia.org]を見るとこりゃダメだろと一目瞭然。数年前、某社のUSBメモリ暗号化ソフト(有料)もこれ使ってて笑いました。
ディスク暗号 [wikipedia.org]はもうちょっと複雑で、XTSが一番良さげ。Linuxのcryptsetupの既定はCBCなんで、HDD交換のときなんかはXTSオプション付きで初期化します。
Re: (スコア:0)
今回漏れたのは、多分DES-EDE/ECBなんだろうけど、パスワードは長さが知れてるからブロック長が128bitのアルゴリズム使えばECBで問題無いでしょ。
SPAM来たよ。 (スコア:0)
公開していないアカウント用のメールアドレスにSPAM来ました。
変更する手間とか、どうしてくれるの言いたい。本当に言いたい。
このアカウントのパスワードは結構難解なはず。
「どうしてくれるのさ」とここで発言してもしょうがないけど、
本当に面倒。
Re:SPAM来たよ。 (スコア:2, おもしろおかしい)
情報漏えい、あなたはどこから?私はメッセサンオーから。
Re: (スコア:0)
パスワードの解読とメールアドレスは無関係でしょ
解読しなきゃメールアドレスが分からないならともかく、
どう考えてもメールアドレスは平文保存だよね。
そうしなきゃパスワード再設定のメールも送信しようがなくなるわけだし。
Re: (スコア:0)
それに、このタイミングだからと言って「漏洩したものが使われた」が100%じゃないし。
パスワードが知られたことに比べれば、スパムが来たなんて何でもないよなあ。
Re: (スコア:0)
俺の所にもadobeにしか渡してないメールアドレスに迷惑メールが来だしたわ。
Re:SPAM来たよ。 (スコア:1)
俺も。
Adobeでしか使ってなくて、このタイミングで急に来はじめたこと、アドレスの一部がランダムなので類推は困難なことを考えると、
Adobeから漏れた可能性が極めて大。
独自ドメインでメールアドレス作り放題だったことが役に立った(w
Re: (スコア:0)
ほとんど同じだ。
Adobe専用に作って、しかも普通思いつかない文字列を仕込んでいたメールアドレスに
11月5日以降ぽつりぽつり来始めている。
同様の仕込み入りアドレスを10以上持っているが、adobe用以外には来ていない。
Re: (スコア:0)
一か所でしか使ってないパスワードこそ何でもないわ
Re: (スコア:0)
スパムメーカーのホーメルフーズはSPAMと大文字で書くのは彼らの商標だから、
迷惑メールのことをそう書くな、小文字で書いてほしいと言っておられますよ。
Re: (スコア:0)
でも、SPAMの語源がSPAMなんだから、いかんともしがたいような。
Re: (スコア:0)
SPAMが実際に家に送られてくるようになったら嫌だな。
Re:SPAM来たよ。 (スコア:1)
そういえば、こんなこともありましたね。
Slashbot Japanからユーザー情報流出、一部ユーザーにSPAMが届く [srad.jp]
# もう9年前になるのか……
Re: (スコア:0)
Ninjaに配るしかないな
Re: (スコア:0)
料金請求されないのなら、SPAM缶は好きだからうれしい。
(でも、一番うれしいのはコンビーフ缶)
Re: (スコア:0)
こんにちは。こちらは一日15通ぐらいSPAM来てます。
こちらはAdobe以外でも使っていたメールアドレスだったので、
メールアドレス変更です...。
おかげさまで、PSN(ソニーのプレイステーションのサービス)に不正アタックされ、
パスワードをリセットしたと通知が来ました。おそらく今回の流出でしょう。
ちなみにAdobeからは英語のパスワード変更のメールが一度来ただけ。
日本法人(ありますよね?)何やってるんだろ...。
解読法 (スコア:0)
単純に文字を置換した暗号の解読法(英文だと「e」の頻度が一番高いから、
一番頻度の高い文字が「e」の可能性が高いetc,)と一緒ですな
「パスワードのヒント」はいらない(オプトピ) (スコア:0)
Adobeの場合は、利用者が思い出せるようにオプションでヒントを書いておける入力箇所だったので違うんだけど、
「パスワードのヒント」を必須入力項目にしているシステムは廃止して欲しい。
「親の旧姓は?」とか「ペットの名前は?」とか。
何も考えなければ利用者は推測しやすい内容を入力するから、システムが脆弱になるだけだと思うんだけど、なんで
必須にしているものがあるんだろう?
オプションでの入力なら、まだいいとは思うけれど。
Re: (スコア:0)
と言うより、システム自体がパスワードを復号できるのが嫌かな。
自分の場合、サイト毎に違うパスワード設定とかやりたくないから、極力同じパスワードを使い回すけど、そういう所では漏れても良いパスワードしか使わない。
逆にパスワード忘れた場合にリセットしかできないサイトなら、普段使ってるパスワード(辞書に無いし、桁が多いからハッシュで割り出すのは難しい)を使う。