複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう

[tsutsumi154]

なぜ8文字 パスワード長が何故か制限されてるサイトは未だに多いが / 日本旅行は4文字以上8文字以内で知る範囲では最もすごい

[dot]

ハッシュ化されたパスワードを漏らさないこと、リトライ数に制限を設けること、ソルトやストレッチングを行うこと、対策できそうなの全部システム側やね... / パスキー対応はよ。

[otchy210]

MD5 が非推奨になってもう 20 年くらいは経っており、当初は「念の為」くらいの話だったのが、いよいよ気軽に破れる時代になったのね、ってところかな。

[puhu208n]

「複雑8文字・定期変更」は「初期UNIXが8文字切り捨てハッシュだった→/etc/passwd(権限644)見て割られた→平均総当たり期間内の変更が推奨に」という流れ。昭和のガチUNIX以外には全く無関係で、短い分危険でしか無い。

[hryord]

今時MD5なんてファイルの同一性確認ぐらいしか使わんて

[rna]

パスワードDBにはハッシュを記録するのだから文字数制限ってあんま意味ないんだよな。64文字くらいまで許容して4つ以上のランダム選択した単語とかをパスワードにしてもらった方が安全。

[ardarim]

８文字が危険というより、それがやばいケースだとブルートフォース対策されてないこと自体がやばいだろ。ハッシュのお漏らしは論外として。

[ledsun]

“bcryptでハッシュ化された同8文字のパスワードにおいては、GeForce RTX 4090だと解読に最長99年かかる”

[H_He_Li_Be]

「1万基のNVIDIA A100とChatGPTによる解読も試しており」ChatGPTを解読に使えるのか。どう使うんだろう。

[verda]

MD5自体はそもそも脆弱性があって10年以上前から使われてないので 単純にベンチマーク的なものとしてやってるんだろうね

[soratomo]

狙われたらどうしようもないってことか。静かにひっそりと目立たないように・・・SNSは現代社会の悪の権化だわw

[deep_one]

basic認証ってMD5固定じゃなかったっけ。仕組みから考え直すと、Webサーバー側の実装で変えられるのか。（でもMD5になってる気がするが。）

[ockeghem]

別段目新しい内容ではないのだけど、ブクマ数がこれだけつくということは、まだ認知されていないということですね。結論的には徳丸本に書いてありますよ!

[defiant]

この記事をおすすめしました

[proverb]

パスワードの文字数上限を無駄に制限してるサイトには罰金を科して欲しい。パスワードを脆弱にするだけのクソ仕様を世の中から根絶するべき。

[taguch1]

個人情報入ってるサービスは多要素認証が必須だけどヨドバシだけなんとかしてくれないかなぁ… 多分ほとんどがリスト攻撃で特定のアカウントとして解読攻撃対象になることはない気がするけども。

[bayaread]

1Passwordで毎回16桁のパスワードをランダム生成してるけど、上限8文字とか12文字のサイトにあたると(＃＾ω＾)ﾋﾟｷﾋﾟｷってなるよね

[bfoj]

md5がrtx4090でも１時間近くかかるのか。

[miruto]

流石に令和の時代にMD5で暗号化するサイトなんて…。

[HiddenList]

8文字以下や記号禁止を強制するパスワードのサイトを　法律違反にして欲しいところ　実際問題そこまでやらないと減らない

[ku__ra__ge]

『すべてハッシュ化し、盗んだハッシュと一致するかを試す「ブルートフォース攻撃」が用いられる 』　それはレインボーテーブル攻撃では？ソルトの概念も知らなさそうだし、この記者は理解度がちょっとだな。

[vbcom]

うそだな。一昔前のcpuでもmd5解析はもっと早い。

[kondenenen]

性能高すぎ

[tetsu23]

調査するなら文字数による違いも出してほしかった。何文字以上ならどの方式でも100年以上かかる、とかわかればパス設定するときの基準にできるのに。

[dgen]

最近はセキュリティー意識が高まってきて政府関連は有資格者必須になりつつある。セキュリティー知識の浅い請負などで安易なハッシュ関数を導入しそう。そういうところはきっと攻撃自体の対策も薄いよな。

[daybeforeyesterday]

うーむ

[shifting]

三菱UFJは数字4桁ではいれるからw

[twainy]

まあ、でも今時MD5ハッシュなんて漏れても大丈夫なやつにしか使わんやろ

[fashi]

レインボーテーブルうんたらじゃなくブルートフォースでパスワード8桁総当たりなのにハッシュ化方式で差が出るの？ソルトや反復回数も含めて解読するんか…

[ya--mada]

あながちテキトーなほうが端的に危機を訴求っきるのかも。パスワード解析の過去のプチ炎上 https://qiita.com/ockeghem/items/5a5e73528eb0ee055428

[taruhachi]

これはそもそも論として、MD5ハッシュ値が漏洩した前提で個人攻撃をされるパターンなので個人としてはパスワードの使い回しをしてない限りあまり影響はなさそうに思う。

[cloverstudioceo]

4090すげーな

[ookitasaburou]

“現実的なA100を12基採用したシステムでbcryptハッシュ化された同8文字のパスワードを解読した場合は、約12年かかる。もちろんその間の演算性能向上を考慮する必要はあるが、パスワードを変更すれば安全性は高まるとして

[work996]

ChatGPTのハードめちゃ凄いということか

[buhoho]

素のMD5とはいえ個人所有のコンピューターでハッシュから文字列復元できるんだ。実用性は限定的だけど面白い。

[ooblog]

#ZIP #ZIPでくれ #PPAP #MD5 #bcrypt #パスワード 「8文字のパスワード~GPTによる解読~5日」 #タイパ #コスパ 的に非現実的とは言え #ChatGPT #LLM #AI がパスワード解析( #ノーコード でこんな事まで)できるとか言われないと気付かない。

[kura-2]

さすがに10文字以内とかは早いだろうよ。ほかの記事でも短いパスワードて危険だなと改めて思った

[osakana110]

“ハッシュ化されたパスワードを解読する際には、可能性のある文字列をすべてハッシュ化し、盗んだハッシュと一致するかを試す「ブルートフォース攻撃」が用いられる。”昔はハッシュだからとおざなりな管理してた

[napsucks]

もはやパスワード認証は破綻してるのかもね

[door-s-dev]

bcrypt強いな。しかし流出なども考えるとパスキーってなるんよねぇ