お安い GPU で強固なパスワードも用無しに 191
ぎくりぎくり 部門より
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。
PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破できた。9 文字の大文字小文字混在のランダムな文字列では CPU では 43 年、GPU では 48 日と試算された。記号やスペースを加えた 7 文字のパスワードでは CPU で 75 日、GPU で 7 時間である。
GPU コンピューティングによりここまで安価な構成で高速に突破されてしまうとさすがに危機感を感じざるを得ない。そもそもシステムによってはパスワードの長さが著しく短く制限されているところもあるだろうし、そうなっていては手の打ちようもない。著しく長く複雑なパスワードを考案し、ポストイットにパスワードをメモって机の中にこっそりしまっておくとかいう状況は古典的ではあるが既に喜劇の領域だ。パスワードを擬人化するなどの方法を使ったり、もちろんセキュリティチップや生体認証などの利用も検討するべきだろう。
総当たりチェックなど・・・・ (スコア:3, 興味深い)
パスワードの総当たりなど、3回試行して失敗したら30分ロックアウトするだけで、この手の物は簡単に防げるという認識は甘いでしょうか。
Re:総当たりチェックなど・・・・ (スコア:4, 興味深い)
パスワードを保管しているファイルが盗まれなければ。
たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
今回の実験から、GPUを使うとこのファイルからパスワードを推測することが可能だ、ということが判ります。もし、同じユーザーが別の所でも同じユーザー名とパスワードを使っていたら、きっと侵入できるでしょう。そのテストを行うのには、1サイト1ユーザー名あたり1回のテストで済みます。
100万人のユーザー情報があって、10%が同じパスワードを違う場所でも使っているとするなら、10万人分の情報が手に入ったわけです。
fjの教祖様
Re:総当たりチェックなど・・・・ (スコア:1, おもしろおかしい)
> たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
なぜだかちっともたとえ話という気がしない。
Re:総当たりチェックなど・・・・ (スコア:5, おもしろおかしい)
いや、たとえ話だろう。
だって、あそこのパスワードは平文だったんだから...
Re:総当たりチェックなど・・・・ (スコア:5, 興味深い)
1) どうやって、「ユーザーが間抜けな行動をとっているかどうか」を確認するか?
2) ただでさえ、たくさんのパスワード設定/変更が嫌で「シングル・サイン・オン」を求めているユーザーにそのようなポリシーをお願いすることが可能か?
3) 仮に押し付けることができたとすると、ユーザーは簡単にあちらこちらの都合が良いサービスを選択・組み合わせる事がしにくくなりますよね? それってITビジネスに参入障壁を設けているだけにならない??
4) 現実問題としては、ユーザー名とパスワードをどこか1箇所で盗まれた場合、自分の使っているITサービスの他のものにも問題が波及する、というリスクはユーザーが被ってるんだから、文句を言われる筋合いはない、という反論にどう対処するか? (公害問題とかと同じ種類の問題になります)
とパッと考えても4つ問題が出ますね。
fjの教祖様
Re:総当たりチェックなど・・・・ (スコア:2, 興味深い)
「弱いパスワードを使うことで破られるリスクがある」
⇒ ピコーン! ログインIDを変えさせればいいんじゃね?
ということで,わざわざ社内システムのアカウント名に
「社員ID以外のIDを使うように」という意味の分からない
お達しが来たうちはどうすれば…
Re:総当たりチェックなど・・・・ (スコア:2, おもしろおかしい)
巫女さんになってシステムを落とせとか、転職しろとかみたいな意見が出ると予想。
Re:総当たりチェックなど・・・・ (スコア:1)
「元記事を読め」ということではないでしょうか
fjの教祖様
Re:総当たりチェックなど・・・・ (スコア:1)
Re:総当たりチェックなど・・・・ (スコア:2, 参考になる)
から直接パスワードを割り出すツールの事だから。
saltはレインボーテーブル [wikipedia.org]対策。
Re:総当たりチェックなど・・・・ (スコア:1)
次画面のリトライ回数を3回くらいにしておけば総当たり攻撃も使えないでしょうし、最初のパスワードが第三者に突破されたこともメールが来ることですぐ分かりますし。
二要素認証くらいの強度はあるかと。
Re:総当たりチェックなど・・・・ (スコア:3, 興味深い)
>>復号すべきデータがクラッカー側にあるのならそれ自体がすでに敗北だし、
>>ネットワーク越しの話なら、律速になるのはクラッカー側の演算能力ではないと思います。
そんなことはない。通信をキャプチャされれば
暗号化された通信が復号される可能性はある。
ログインされることだけが損害ではない。
Re:総当たりチェックなど・・・・ (スコア:1)
それってディクショナリ式じゃないの?
総当たりって文字通り総当たりだと思うんだけど。
簡単な結論 (スコア:2)
セキュアなキーボードマウス (スコア:2)
セキュアなマイキーボードに対してログオンして、OSはキーボードが提供する公開鍵をサーバーへ暗号化通信で中継するような仕組みで
皆信用のできるマイキーボードを持ち歩けばいいと思います。
マウスもボタン部分が生体センサーになっていて適度な頻度で誰がクリックしたのか認識し続ければいいと思います。
入力デバイスからサーバーまでの間が暗号化されれば安心が増えそうな気がします。
パスワード擬人化 (スコア:1, おもしろおかしい)
・3か月毎に嫁が変わる
長所:定期的なパスワード変更によるセキュリティ強化
短所:今の嫁が誰だか忘れてしまう
・忘れそうになったら「今流行ってるキーワード」から思い出せる
長所:流行の情報は目につきやすいので思い出しやすい
短所:クラッカーも同じ情報量を目にしている
Re:パスワード擬人化 (スコア:2, 参考になる)
長所:定期的なパスワード変更によるセキュリティ強化
今時これ信じてるの? 存在を否定はしないけど、無条件に「強化」と言ってしまうのは危険。
まぁこの辺でも読んで喜翆荘にセキュリティコンサルとして入ることを目指してくれ。
http://www.atmarkit.co.jp/fsecurity/rensai/dknight06/dknight01.html [atmarkit.co.jp]
http://d.hatena.ne.jp/ockeghem/20080226/p1 [hatena.ne.jp]
短所:今の嫁が誰だか忘れてしまう
その程度の愛なの? ホビロン。
Re:パスワード擬人化 (スコア:2)
>無条件に「強化」と言ってしまうのは危険。
おいおい。
無条件に強化と言ってしまうのは確かに疑問もあるけれど、
その記事は両方とも突っ込みどころ満載の奴じゃ無いですか。
そんな与太話を鵜呑みにしちゃだめですよ。
Re:パスワード擬人化 (スコア:2)
・忘れそうになったら「今流行ってるキーワード」から思い出せる
長所:流行の情報は目につきやすいので思い出しやすい
短所:クラッカーも同じ情報量を目にしている
流行??何が?????
ここまで読んで、嫁というのがアニメだと気づいた。女とっかえひっかえなのかと思って読んでた。
Re:パスワード擬人化 (スコア:2, おもしろおかしい)
>3か月毎に嫁が変わる
黒子は俺の嫁とか、ミサカ妹は俺の嫁な俺大勝利ということでしょうか?
>忘れそうになったら「今流行ってるキーワード」から思い出せる
今だと、ほむほむ一点張りの俺勝利ということでよいでしょうか?
>短所:クラッカーも同じ情報量を目にしている
さやかに乗り換えるべきでしょうか?
こういう記事でCPUはいらないなどと (スコア:1)
凄く速いオートバイが自動車の代わりになり得るかを問うてみるのもいとおかし。
Re:こういう記事でCPUはいらないなどと (スコア:2, おもしろおかしい)
GPUは分岐に弱いらしいので、例えるなら凄く速いハンドルのついてないオートバイではどうでしょう。
#カーブでは一旦降りて曲がります。
Re:こういう記事でCPUはいらないなどと (スコア:1)
>凄く速いオートバイが自動車の代わりになり得るかを問うてみるのもいとおかし。
サイドカーにして荷台付けて幌を付けて..とかやっている人もいるらしい。
バイクでキャンピングカー牽引とかわけわからんのもいる。
絶対間違っているとは思わないけど、やはりどこか間違えている感が漂う。
Re:こういう記事でCPUはいらないなどと (スコア:2)
想定を大幅に超えた荷重がかかるわけですから、チェーンやスプロケットの消耗激しいでしょうし、足回りのベアリングの負荷とかフレームも歪んでくるかもしれませんから、絶対間違ってると思いますよ。
間違ってる事やってるから楽しいというかなんというかそんな感覚だと思います。遊び心ですよ。
Re:こういう記事でCPUはいらないなどと (スコア:1)
その昔、オート三輪 [wikipedia.org]という乗り物があってじゃの…
先週見たNHKの『幸せの国のサッカー~ブータン代表の日本人監督~ [nhk.or.jp]』って番組で、オート三輪が現役で走ってるのに驚いた。
Re:こういう記事でCPUはいらないなどと (スコア:1)
>先週見たNHKの『幸せの国のサッカー~ブータン代表の日本人監督~ [nhk.or.jp]』って番組で、オート三輪が現役で走ってるのに驚いた。
オート3輪は、道交法の落とし穴だったりしますね。
実際に動いているってのが凄いけど、ハンドルがバイクタイプのがあって面食らいますね。
>その昔、オート三輪 [wikipedia.org]という乗り物があってじゃの…
2輪のおっきいのというつもりで認可したらアレ?ってなのがありそう。
Re:こういう記事でCPUはいらないなどと (スコア:1)
>オート三輪の時代には、自動2輪免許なんてなかったさ。(自動車免許のおまけ)
そういう許認可の体制が笑いどころなんですよ
Re:こういう記事でCPUはいらないなどと (スコア:1)
この例だと物凄く無茶な改造をして「どやっ」と言いだす人が出てくるから、ジャンボジェットかロケットを例にすることにしています。
fjの教祖様
Re:こういう記事でCPUはいらないなどと (スコア:5, すばらしい洞察)
身近な喩えにするなら、「シュレッダーがハサミの代わりになるか?」程度でよいのでは。
Re:こういう記事でCPUはいらないなどと (スコア:1)
CPUの代わりになるかどうかは、GPUの機能がチューリング完全 [wikipedia.org]かどうかで決まります。
GPUは今の所チューリング完全ではない、と言われています。なのでまだ無理でしょう。
# 今のGPUがCPUより早いのはチューリング完全じゃないからだ、という見方もできます。
fjの教祖様
Re:こういう記事でCPUはいらないなどと (スコア:1, 興味深い)
1次元セルオートマトンのルール110がチューリング完全 [wikipedia.org]だったりするので、
ちょっとした画像処理を繰り返し実行できればチューリング完全です。
結局、その計算結果を現実的な手段で外部に出力できるか、というところが問題になり、
「外部I/Oがそういう風にはなってないので今のアーキテクチャではCPUの代わりにはならない」と、
チューリング完全性を持ち出さない説明と大差ない結果になります。
Re:こういう記事でCPUはいらないなどと (スコア:1)
CUDAもGLSLもHLSLも、GPU「だけ」で実装するものじゃありませんよ?
なんかレイヤーを1つ勘違いしていませんか?
fjの教祖様
Re:こういう記事でCPUはいらないなどと (スコア:2)
> 「GPUだけ」ってどういう意味? CUDAやらGLSLやらHLSLやらでコンパイルされてGPUに送り込まれる
> 機械語コードもチューリング完全ですけど?
> IntelのCPUはx86のバイナリしか実行できないから高級言語はチューリング完全じゃないとでも?
例えば sort だとか m4 だとか C コンパイラだとか Java VM だとか
Lisp インタープリタだとかが GPU で実装可能なんでしょうか?
# 本当に興味本位の純然たる質問です。
Re:こういう記事でCPUはいらないなどと (スコア:1)
ここがあなたの勘違い。
fjの教祖様
Re:こういう記事でCPUはいらないなどと (スコア:2, 参考になる)
okkyさんに一票
Re:こういう記事でCPUはいらないなどと (スコア:1)
> OpenGLのシェーダー言語であるGLSLも、DirectXのシェーダー言語であるHLSLもチューリング完全で、だからこそWebGLの欠陥が「対応困難な仕様上の欠陥」とされているんだけど?
シェーダー言語がチューリング完全であることは、WebGLの欠陥が「対応困難な仕様上の欠陥」であることの必要条件なのか?
その言語に何かできない計算があったら、ただそれだけで「対応困難な仕様上の欠陥」が出来得ないとは到底思えないが。
1を聞いて0を知れ!
早く日本語パスワードの許可を…… (スコア:1)
ってのは素人考え?
Re:早く日本語パスワードの許可を…… (スコア:2)
パスワード+指紋とかにすればかなり情報量は増加しますね。
国語では、所属国がばれた段階でかなり情報が絞り込まれますしね。
Re:早く日本語パスワードの許可を…… (スコア:2, すばらしい洞察)
そして日本では「中国で使われていない漢字をパスワードに入れるとクラックされにくくなる」という都市伝説が囁かれるようになって、
いつしか「初期はそうだったが、今はそれやると逆効果」と誰かが注意喚起し始める。
1を聞いて0を知れ!
総当たり前提の対策なら (スコア:1)
単純に文字数を増やせばいいのかな。
辞書攻撃に強いの+覚えやすい語って感じで。
力技 (スコア:1, おもしろおかしい)
CPU「手で引きちぎっちゃいました」
GPU「9998までは行ったのだが.........」
たしかマトリクス認証だったか (スコア:1)
ああいうのって一般のWebサービスのログインじゃ使えないのでしょうか。
●=1 ▲=2 ■=3 ○=4 △=5 □=6
▲○□をパスワードに設定している場合は246
数字部分は毎回かわる。
Re:何度も出てきた(と思う)ネタ (スコア:5, 興味深い)
GPUは数式になるような処理は得意だが、分岐がとっても苦手なのでCPUの代替にはならない。
Re:何度も出てきた(と思う)ネタ (スコア:2, すばらしい洞察)
Re:全角文字も (スコア:2)
ただ、<input type="password"> だと、ちょっと入力が面倒なんですよね…
Re:パスワード以外の認証方法を早く (スコア:1)
コストを度外視していいなら、「あるサイト」に関してどうにかすることは可能です。RSAだとSecurIDとか。時刻と連動して変化する番号を知りうるのは、特定のデバイスを持っているひとだけだ、という発想ですね。
でも、そうなるとあっちこっちでそれぞれ SecurID を持たなくてはいけません(同じ SecurID だと、一箇所破られただけで SecurID を交換しなくちゃいけなくなる)。そうすると、どの SecurID はどのサイトのものなのか、と言う問題と、その SecurID をジャラジャラ持ち歩かなくてはならず、今度は 落としてしまう危険性が…
fjの教祖様
Re:あんたはその前に日本語勉強して来い (スコア:1)
大辞林より
Hiroki (REO) Kashiwazaki
Re:スラッシュ国民投票 (スコア:1, すばらしい洞察)
・日本語できない編集者はイラネ
Re:あんたはその前に日本語勉強して来い (スコア:2, おもしろおかしい)
>GPUがあればユーザ側で強固なパスワードを用意する必要がない、という意味に受け取られかねないということでは。
まぁ、そういうことを言っているわけなんですけどね。
>「用無し」じゃなく「台無し」だったら意味が通じたかも。
reoみたいなのに通じないでしょうね。
ネイティブに日本語を使っていないとreoさんみたいな日本人のふりをしている
鮮人支那人にそれを求めるのは無理ですよ。経験や実際の用途でななくて、
単に辞書でそういう意味があるのでオケと(しかし、用途としてそれにするとかない程度
を知らない)いうことなので、チョンやシナの能力を買いかぶってはいけませんよ。
Re:セキュリティに対する考え方自体に穴がある (スコア:2, すばらしい洞察)
インジェクションなりで侵入されて、sha1とかでハッシュ化されたパスワードデータがあったら、そこから元に戻すのに現実的な時間で戻せるようになるというところじゃないの?この話。
#そもそもWEBアプリだとそんなに速く繰り返しできねぇとおもうのです。
---にょろ~ん