8文字のWindowsパスワードはわずか2時間半で突破可能と判明

by Brian Klug

セキュリティに関する研究を行っているハッカーのTinker氏は、NVIDIAの最新GPUであるGeForce RTX 2080 Tiとオープンソースのパスワードクラッキングツールである「hashcat」を組み合わせることで、8文字のWindowsパスワードをわずか2時間半で突破できると報告しています。

Use an 8-char Windows NTLM password? Don't. Every single one can be cracked in under 2.5hrs • The Register
https://www.theregister.co.uk/2019/02/14/password_length/

2011年、セキュリティ研究者のSteven Myer氏は、「8文字のパスワードはブルートフォース攻撃を使えば44日で突破されてしまう」と警告を発しました。しかし、それから4年後の2015年にはソフトウェア開発者のJeff Atwood氏が「平均的なパスワードの長さは8文字である」と述べ、多くの人々はパスワードの長さを変える努力をしていない様子。

2019年2月には、16のサイトから盗まれたおよそ6億人のアカウント情報がダークウェブで販売されていることも判明しています。

全16サイトから盗まれた6億人分のアカウント情報がダークウェブで販売開始へ - GIGAZINE

そんな中、ハッカーのTinker氏はhashcatのバージョン6.0.0ベータ版とGeForce RTX 2080 Tiを使うことで、ハッシュ化されたパスワードを解読するスピードをチェックしました。Tinker氏は、「現在のパスワードクラッキングベンチマークでは、8文字のパスワードはどれほど複雑であっても2時間半以内に突破できます」と述べ、8文字のパスワードはほぼ無意味だとしています。

Tinker氏が行ったブルートフォース攻撃は、NTLM認証を用いているWindowsおよびActive Directoryを利用する組織に対して有効です。NTLM認証は古いWindowsの認証プロトコルであり、今ではKerberosという新たな認証方式になっていますが、Tinker氏によるとWindowsのパスワードをローカルやActive Directoryのドメインコントローラーのデータベースに保存する際に今でもNTLM認証は使われ続けているとのこと。

by Startup Stock Photos

アメリカ国立標準技術研究所はパスワードの長さについて、「最低でも8文字以上が望ましい」としています。しかしセキュリティ研究者のTroy Hunt氏が2018年に行った調査では、GoogleやMicrosoftなどがパスワードの設定時に最低でも8文字以上を要求するのに対し、Facebook、LinkedIn、Twitterなどはパスワードに6文字以上の長さしか求めなかったそうです。

Tinker氏は「人々はパスワードを作る際に大文字、小文字、数字や記号などを混ぜた複雑な文字列を設定するように要求されますが、これは人々が自身のパスワードを記憶するのを難しくしています」と指摘。この要求が、多くのユーザーがパスワード設定時に要求される最低文字数である8文字のパスワードを作りがちな理由だとしています。

なお、「パスワードには大文字、小文字、数字などを混ぜるべき」という説について、パスワードの専門家が「文字列を複雑にしても特に意味はなかった」と認めています。

パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE

そこで、Tinker氏はパスワードを設定する際に「ランダムで5個の単語を組み合わせるといい」と述べています。たとえば「Lm7xR0w」という8文字の複雑なパスワードよりも、「phonecoffeesilverrisebaseball」という5個の単語を適当に組み合わせたパスワードの方がセキュリティ的に強くなるとのこと。また、2段階認証を有効にすることもセキュリティを強化するために重要だとしています。

by stevepb