「バレバレじゃん」総当たり攻撃時のパスワード最大解読時間を表で示してみた「桁数を増やすことに意味がある」

Sen Ueno @sen_u サイバーセキュリティの株式会社トライコーダ、OWASP Japan Chapter Leader など。飲むとすぐ寝る。 tricorder.jp

[lli]

オンライン攻撃とオフライン攻撃を分けて考えようね。徳丸先生の動画が分かりやすいからオススメ https://youtu.be/D2ZK2z7hCj8

[sgo2]

オンラインの場合はパスワードハッシュの漏洩が起きてから解析完了されるまでの時間と考えるべき。報道迄の時間を考慮すると数日は耐えられる必要がある。

[kazatsuyu]

どういう攻撃を想定しての時間なんだろう。仮に回数制限がなかったとしてもネットワーク越しだと通信の方がボトルネックになるので数字10桁でも一瞬では終わらんと思うが

[BlueSkyDetector]

元ページも見たけど、ハッシュリストに対するブルートフォースなのか、ソルトやストレッチングがどうなってるか、など条件が分からなかった。ソルト・ストレッチング無しのハッシュリストが対象っぽい気はするけど。

[omuraisuhaoishi]

このツイート、速攻徳丸浩氏と高木浩光氏に同時に指摘つっこれまれてて怖くて泣いちゃった…

[sin20xx]

ブルートフォースアタックが成立する条件はそこまで容易ではないのでそうはならんやろというのが現実。但し対象サービスやプロダクトでそれを許容する状況下にあるのであれば当然そのとおりのリスクとなる。その程度

[Kenju]

いいかげん日本語文字を入れられるようにしよう

[tattyu]

ハッシュされた値と同じハッシュ値が出るまでパスワードを総当たりする時間なので、時間のかかるbcryptの様な方式だととても時間がかかるようになる。あと普通salt値くっつけるだろうから気にしなくていいのでは。

[whoge]

前提条件書けよ。これだからセキュリティ専門家は。これを鵜呑みにする奴はエンジニア失格だからな。

[dgen]

接続先の鯖の通信状況や処理内容に依存するだろうから、これはあくまで最速の理論値という感じなんだろうな。量子コンピュータが出回ったらパスワードはどうなるんだろう？他の何かに置き換わるのか？

[cubed-l]

構築する立場であれば当然よく知っていなければならない話ではあるんだが、利用者としては「長いパスワードを使い回しをせずパスワードマネージャを使え」で特に変化はない

[namisk]

可能なら常に16文字以上のランダム文字列なので。1Passwordありがとう。

[substance_abuse]

いくら工夫したって当たるときは当たるんだよ

[akiat]

だからだいたい3回間違えるとめんどくさいことが起こるのでは

[spark7]

こんなのよりサービス間でのパスワード使い回しの方を気にした方がいいわな。

[John_Kawanishi]

自分がいつもつかってるPasswordは******で解読されてしまうのかぁ

[cu39]

最大字数と使える文字種があまりにバラバラなので、何種類か規格を決めて強度グレードを振るみたいなことをしてほしい。

[ShimoritaKazuyo]

7000兆年って宇宙が何回誕生してんだ？

[ebibibi]

MD5のパスワードハッシュに対してオフラインで解析した場合の所要時間。皆さん長いパスワードを使いましょうね。

[otihateten3510]

総当たりさせないのが大事

[bonogurashi]

そういや昔zipファイルのパスに漢字使ってたな

[inazuma2073]

流出さえしなければ、なんだよな

[shinp]

おいおいおいおい…パスワードハッシュを解析する時間はパスワードがどんな文字の長さでどんな種類であっても基本は「同じ（ほぼ無限時間必要）」だぞ…暗号学舐めてるのか…？/saltなし前提？　そっちの方がありえん

[yarumato]

“英文字、数字、記号を増やすよりも桁数が重要。　英文字(大/小)＋数字＋記号で8文字->8時間。英文字(小)16文字->3万4千年”

[Wafer]

社長が表を無断引用、それをもってして「総当たり攻撃時のパスワード最大解読時間を表で示してみた」とツイッターで流すことで、トライコーダの会社としての程度がうかがい知れるという脆弱性

[pascal256]

これは良い表

[tetsu23]

数字英数12文字か、数字英数記号11文字あたりがよいところ？ オンラインだったらもっと短くてもよい？

[yuyumomo999]

https://qiita.com/ockeghem/items/5a5e73528eb0ee055428

[trace22]

漏洩を前提にしなくても、普通に内部犯行で危険に晒される。

[REV]

ラケットヘッドが３０ｃｍも下がっていた話ではなかったようだ。

[doko]

連続10回失敗したら1時間再チャレンジできないみたいなのを入れるとどうなるん

[ikurii]

1桁増えるだけで、かかる時間がガクッと増える箇所があるな、と思ったが、計算してみると大体等倍で、自分の時間の感覚の問題だった。

[akiraki]

なんとも言えないとか言ってる奴なんなんだ？桁数と文字種を増やすとこんなに変わりますよってのが分かればよくない？

[odz]

MD5の場合かな？こういう話があるからPBKDF2を使ったりsalt足したりするわけでな。短いと危ないのは変わらんのだが。

[IGA-OS]

“ベースとしたハードはGigabyte GeForce RTX 2080 Ti Turbo11GBっぽい” 比較的入手は容易なスペック

[shepherdspurse]

覚えとく

[boshi]

これ面白い。数字のみの脆弱性たるや。

[houyhnhm]

力技ぶん回しでも解けるよという話。ソルト関係するのはあくまでも生の暗号化ファイルとかの場合。ネット経由だと通常この勢いで試行できない（連続5回失敗とかでブロックされるとかの対応もある）。