トレンドマイクロの「似ている文字で暗号を作ると安全なパスワードに」は間違い。セキュリティ研究者が指摘
netgeek 2018年4月9日|
|
似ている文字で暗号を作ると良い?
パスワードの定期的な変更は不要!?安全で覚えやすいパスワードを作るワザとは?https://t.co/8b6YEKxQYa#パスワード #セキュリティー pic.twitter.com/O0xar90T6a
— NTV NEWS24 (@news24ntv) April 5, 2018
日テレはトレンドマイクロから教えてもらった目から鱗の方法として裏ワザを紹介した。トレンドマイクロは「ウイルスバスター」で有名な会社だ。
確かにただの単語より推定されにくそうではある。だが、専門家によるとこれはすでにハッカーの辞書に登録されており、全パターンを試す機械的な攻撃を受けると突破されてしまうのだという。
これはひでえ。誰だよこんなのをテレビ局に教えたのは!https://t.co/TowQp3rf0W
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
イマドキこんなことしてたらマジで破られるだぞ! pic.twitter.com/DRulo3gfpD
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
※トレンドマイクロ監修と判明してから。
またお前かっ!倒産して社会に侘びろクソ会社。 pic.twitter.com/GjVyOM3XMB
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
イマドキは最初から「s0c!@1」とかの辞書で攻撃してくるんだよ。トレンドマイクロのエンジニアは普段ブルートフォース攻撃のログとか見てないの? なんの事業やってる会社なの? 恥を知れよ。こういう有害啓発やってる部隊とり潰せよ。https://t.co/Vq19s809Rb pic.twitter.com/OD8FyNXmvS
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年4月5日
例えばマイクロソフトの「パスワード スプレー攻撃の防御」では確かにハッカーが暗号も含めて総当たり攻撃を仕掛けてくると例示されている。aを@に、Sを$に、oを0に変える例が紹介されており、あろうことかトレンドマイクロのオススメ方法と同じ。
それなのに、あろうことかトレンドマイクロのセキュリティ教本には記号を使った暗号化がオススメされている。最新の手口を研究し続ける研究者からすれば今や暗号化は時代遅れということか。
残念なのはこうした暗号化が有名になってしまったせいで、使えなくなったということ。皮肉にも日テレはその影響力を使ってハッカーにも暗号化のルールを教えてしまったのだ。これでは暗号の意味がない。
高木浩光氏が推奨する方法は3つの語を繋げること。
私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。)
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年3月27日
※広辞苑は25万語、小型の国語辞典で7万語
このやり方だと膨大なパターン量になり、特定しきれないということだ。日テレは暗号を解説した時点で何かおかしいと気づかなかったのだろうか?泥棒に暗号ルールを教えてどうする。
Comments (7)