9割がパスワード使い回し、漏えいしたソニーのパスワードから分析
連日のソニーグループを狙ったハッキング事件だけで100万件以上のパスワードが漏えいしているので、そのハッシュ化されてたり、されてなかったりするパスワードの分析や解析などを誰かやるだろうなァと思っていたら公開されていました。
以下の観点について分析がなされています。
- 長さ
- 文字空間(文字の種類)
- 乱数
- 一意性
この中で興味深かったのは、パスワード再利用(Password reuse)についてでした。
ソニーグループの異なるデータベースで、同じメールアドレスの場合、同一アカウントと見なして、その2000アカウントでパスワードが異なるかどうかを調べた物です。
その結果、92%がパスワードを使い回しているという結果が出ています。私の想像よりも多いですね。
ソニーとGawkerで比較した場合でも67%が使い回しだと判明しています。
さらにレインボーテーブルのリスクについても分析されています。
ハッシュ化されているパスワードリストのうち、基本的なレインボーテーブル(9文字以下の英数字)で解析できるのは、82%と出ています。これもかなり多い割合ですね。
やはりハッシュ化だけではなく、saltを加えるという対策は必須なのではないでしょうか。