数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない - ただのにっき(2014-02-07)

■ 数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない JALマイレージバンクの不正アクセスが発覚して数日、いろんな人の意見を読んでいるのだけど「数字6桁の暗証番号*1は今どきのPCなら総当りでもすぐに解けてしまうから脆弱だ」という意見がみられて、それはまぁそうなんだけど、今回のような事件に関しては適切な表現ではないと思う。 ちなみに、'000000'から'999999'までバカ正直に順番にMD5を計算し、結果を別途計算してあった正解と比較するプログラムを実行すると、手元の環境ではたった1.5秒しかかからない*2。それでもJMBの会員2700万人分を計算すると450日余りかかることになるが、これだって今どきならクラウドで100コア分調達すれば4日ちょいで解ける計算だ*3。 じゃあやっぱり総当りで解けちゃうから危ないじゃんと思うかも知れないが、この計算が成り立

[oscdis765]

リバースブルートフォースも総当りの一種じゃないの

[Mu_KuP]

このリスク、実はもうちょっと狭める事が出来る。数字6ケタの場合、年月日を使うケースが多いわけで、1/3/5桁目に使われる数字は4以上を排除する等の推測。

[ardarim]

リバースブルートフォースは便宜的につけられた造語で、パスワードを固定したID総当たり攻撃だよね、結局。

[miki3k]

全然関係無いけど、6桁だと、YYMMDDに限定すると的中率上がりそうだなとか思った。

[otsune]

id:houyhnhmさん。同一IPが違うユーザーというのもISPによっては実在するので、正規利用者が誤爆する。あとスパマーやクラッカーはIPたくさん使うこと多い。

[HACHI-BAY]

リバース・ブルートフォース・ソバット！！

[rryu]

会員数に対してパスワード空間が狭過ぎるのが原因な訳で、どれくらいの大きさがあれば安全と言えるのだろう。

[itochan]

28の法則を考えれば、パスワードを2割試せば、8割ヒットする。

[K-Ono]

ハガキがどっかいっちゃったので自分で自分の暗証番号がわからないという。数字６つだから自分で考えない方がいいと考えたのがアダに。

[megazalrock]

このJALの件はありとあらゆる要素がダメすぎて、ツッコミきれない感がある。

[cir_cle]

from 数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない - ただのにっき(2014-02-07) via IFTTT

[nilab]

数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない - ただのにっき(2014-02-07)

[cubed-l]

秘密情報とはいえないものにしか設定できないのがね

[heyMackie]

なるほど

[t-wada]

“数字6桁だと同じ暗証番号を持つ会員が2700万人のうち数十人いると期待できる、つまりオンラインのリバースブルートフォース攻撃がとても効率的になってしまう” "ユーザ側の工夫でこれを避けることができない"

[msyk710513]

表面的でなく、こういう踏み込んだ解説、大事だなあ。システム作る側もセキュリティのプロの意見取り入れて構築しないと。

[mmorita44]

記事の内容はもっともな事だが、今時ネットサービスにて暗証番号数字6桁という対応しかしていない点にセキュリティ対策の考慮部族を感じずにはいられないんだな。

[JULY]

誤解しちゃいそうなポイントをまとめた良文。

[houyhnhm]

リバースの場合、同一ユーザでの試行回数じゃなくて同一IPでのにしなきゃ、それでもログインに成功するIDを挟まれたら分かんなくなるよね、とか。認証が負荷高め分散されてるなら一気にアクセスしてとか。返答はメタ

[wbfcg593]

IT セキュリティ

[JD30671011]

ねこかわいい

[karupanerura]

わかりやすい

[koyancya]

ｗ "こちらからは以上です"

[kenzy_n]

危機認識

[raitu]

「数字6桁だと同じ暗証番号を持つ会員が2700万人のうち数十人いると期待できる。つまりオンラインのリバースブルートフォース攻撃がとても効率的」パス固定のID総当たり

[yohichidate]

ログイン周り実装はやったこともあるので、色々と背筋が凍る

[kukita]

【#セキュリティ】「数字だけのパスワード’（暗証番号）」が危険なのは”総当りで簡単に破られてしまうから”ではなく”多くのユーザが「123456」のような暗証番号にしがちだから”という話。自分用メモφ(..) →

[daybeforeyesterday]

うーむ

[naokey7]

記事内容もさることながら、インタビュー仕立てにしたのが上手い！ ※注: このエントリはインタビュー仕立ての記事であり、文責はすべて徳丸にあります。高橋は架空の人物です。

[TakamoriTarou]

そうか、パスワードには法則性が無いが、IDの方に法則性があるからこういうことが起きるのか。

[cider_kondo]

「パスワードと呼ぶにはあまりにアレなので暗証番号と呼ぶべきだろう」がちょっと面白かった。いや本当は面白くないんだけど

[spikelee5]

数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない - ただのにっき(2014-02-07)

[north_korea]

数千万人の会員に対してたった6桁の識別空間はマズイですよ！

[sin20xx]

事業者側の事情も分からなくはないがそれを考慮してもやってない対策が多すぎるよね。恐らくパスワードエラーに対する基本的な処置を行うだけでも全然ちがうんだけどそれもやらないのは怠慢ですな。

[blueboy]

カタカナで書くからわかりにくい。日本語で書けば「危険なのは、総当たりに弱いからではなく、逆総当たりに弱いから」→　結局、たいして違わない。総当たりの方向性が違うだけ。cf.「ブルートフォース」でググれ。