安易なパスワードの実態

先日書いた、アドビネットワークに対する攻撃で顧客情報が一部流出した事件。

10月末には影響は3800万人にものぼる事がわかったが、流出したパスワードが解析されて安易なパスワードの実態、190万人が「123456」使用という事が公表された。

相当数の死蔵アカウントが含まれるとは思うが「123456」の人が約5％もいるっていうのは「123456」を20回試せば突破できるという事なので、驚くべき実態と表現するのはもっともだが、個人的にはそれ以上に「暗号化されていた流出パスワードが現実的には第3者でも復号可能な難易度であった」方が深刻だ。

Adobeがハッシュよりも対称鍵暗号を選び、ECBモードを選択し、全てのパスワードに同じ鍵を使っていたことや、ユーザーが平文で保存していたパスワード推測のヒントがあったおかげ

という事なので、やはり「あと一手間」を惜しんじゃダメという事なんだなと思う。

参照

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/

• Adobeにサイバー攻撃　290万人のユーザー情報に不正アクセスの可能性 2013年10月4日
• Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に 2013年10月30日
• Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 2013年11月6日

GIGAZINE http://gigazine.net/

• Adobeから流出したパスワードでよく使われていたものトップ100が公開される 2013年11月7日

Adobe http://www.adobe.com/

• お客様情報のセキュリティに関する重要なお知らせ
• パスワードのリセットに関する重要なお知らせ