自動ニュース作成G
アレンジした「使い回しパスワード」でも破られる、高確率で推測する手法が出現
https://xtech.nikkei.com/atcl/nxt/column/18/00676/093000150/
2024-06-28 05:54:17
>Webサービスごとに異なるパスワードを設定する必要がある。とはいえ、1人で多数のWebサービスを利用している現状では、全く異なるパスワードを設定するのは難しい。ベースとなるパスワードを1つ決めて、それをアレンジすることで異なるパスワードをつくっている人は多いはずだ。例えば冒頭や末尾に文字列を追加したり、一部の文字列を別の文字列に置き換えたりする。ところが元のパスワードからアレンジ後のパスワードを推測される恐れがあるという。~中国の研究者グループはそのプロセスを機械学習のモデルにし、高確率で推測することに成功したという。2023年8月にその成果を論文として発表した。~モデルの学習と評価には~Webサービスから流出したメールアドレスとパスワードを指す。データセットに含まれるパスワードは合計でおよそ48億個。例えばLinkedIn(リンクトイン)から2012年1月に流出したおよそ5465万個のパスワードや、Taobao(タオバオ)から2016年2月に流出したおよそ1507万個のパスワードが含まれる。
かなりギリギリ攻めてる研究だな。要登録だけど無料で読める部分だけで十分かな。半年前の記事だけど、最近のニコニコ動画の被害から投稿することにした。ニコニコ動画からアカウント/パスワードのペアも流出した可能性があり、その場合は一部を変更したパスワードを他サイトで使ってないか、確認した方が良さそう。
・正直アレンジしたの使い回ししてるな。みんなどうしてんだろ、真面目にランダムパスワードその都度生成させてブラウザに記憶させてる?
・#1 それPCが飛んだらマジ終わるんで。代わりにBitwardenに作らせて覚えさせる、はそれよりは大分マシではあるけど、やっぱり自前のアレンジでやってるなあ
・#2 複数PCがあって同じネットアカウントとブラウザを使っていたらPCがひとつ飛んでも一応大丈夫。
・あぁ、Chromeの同期使ってたらパスワードもクラウドにあるので問題無いか。ただ、そっちは他人がChrome使えるタイミングがあればパスワード抜ける、っていう穴が発生しやすいってところが問題で
・それはもうchrome以前の問題だな
・iPhone / mac はキーチェーンが iCloudを経由して共有してくれるので、OS付属品レベルで同じコトができる。新iOSではパスワード管理アプリとして独立するみたいだけれど
・1Pass導入前はアレンジ利用だったけど,導入後は完全ランダムにしてる。 まぁ,1Pass抜かれたら終わるけど
・暗号化ってMD5なのかSHA-1か、もっと新しいハッシュ関数なのか? >「ニコニコ」公式Xは注意喚起をポスト。ニコニコアカウントのパスワードについては、システム内で暗号化されたうえで保存しているため、仮に流出していたとしてもすぐに悪用される可能性は低いという。ただし、念のため~< https://news.yahoo.co.jp/articles/c6215a127d59f13735703570cc6f829966ea109c
・遅まきながら、新しいパスワード(の共通部分)を検討し始めた(アレンジは継続するんかい(笑))