アカウント名:
パスワード:
>6 文字以内の短いパスワードによる 10 個のハッシュ値について元のパスワードを見つけ出すことに成功した、と報告されている。
8文字以上推奨とか、たまに書かれているけど、8文字だといくらでとけるのかな?
>大きな計算リソースを使う作業のために自前で高性能な計算機を用意することなく、安価なクラウド型のサービスを利用してほいほいできてしまうとは、なかなか恐ろしい時代になったものである。
つまり、2ドル程度以下の価値がないとしたら、6文字以下でもええのとちゃうか?ということで、何文字だったらいくらぐらいで解けちゃうの概算って算出できないのかな?
> 8文字だといくらでとけるのかな?・6文字から2文字長くなる・アルファベットは大文字小文字を区別・0〜9の数字も含む・記号は含まないと条件を決めた場合、(26x2+10)の2乗で、2,704倍となる。それに49分を掛けると約2,200時間=92日
# 掛け算についてうるさく言われるのがいやなので、AC
今回の試みでは総当たりでチェックしているようなので、パスワードが1文字増えるごとに文字種の数の分だけ計算コストが増えます。7文字くらいまでならともかく、8文字になるとだいぶ料金が発生してしまいますね。9文字以上はさすがに厳しそうです。saltを加えたら手も足も出ないでしょう。
以下、今回使われたハッシュのリストと、EC2でのクラック(?)成否、元のパスワードです。
SHA1 HASH 成否 PASSWORDEB45E66E03EE06E74AC824081C7A71352E51DF90 ○ 'nVidia'A94B95A7A4D432DE056B0030DA879AF841376069 ○ 'GPGPU'3B615E3CD3ACA03AC818C7752A109EC7E2168532 ○ 'W3a$eL'8F2005004F8BAA7A1090A9BF3B03C48D38E78157 ○ 'P4s$'26BFB52D1809F04EAD2B7F5C002C1EAA7A584696 × 'cryptohaze'7110EDA4D09E062AA5E4A390B0A572AC0D2C0220 ○ '1234'1902E3D6FC4E78A0BCC50BA12B882769AFBF4A8C ○ 'bad'BFE06C47BE2390ACA934AB6A128C141DCEB4072F ○ 'G0o|)'CD3724AC40034097A3D27865D710E4F791B6AEDB ○ 'Bwah'A9993E364706816ABA3E25717850C26C9CD0D89D ○ 'abc'0D824508182A1AA0EEF9A0B6EE52F8A32AF06F0A ○ 'GoOd!'5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 × 'password'EF8420D70DD7676E04BEA55F405FA39B022A90C8 × 'Password!'DA39A3EE5E6B4B0D3255BFEF95601890AFD80709 × '' ← ★注目★
# 元ネタの人が検出できなかったパスワードについては、私が夜なべして見つけました。:-)
本家でも指摘されていますが、面白いことにリストの最後、これは空文字のSHA1ハッシュ値なのですが、こいつが検出できていないんです。つまり、一番簡単なはずの空文字についてはチェックしていなかったんですね。
とまあ、今回やっていることの内容は計算デモといった趣で、「これをパスワードクラックというにはちょっと素朴すぎるかなあ」という印象ではあります。とはいえ、EC2ではストレージ領域もそれなりに用意されているので、辞書と組み合わせてあれやこれやすることも可能でしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
リンク閉じ忘れ (Internet Watch の記事) (スコア:1)
>6 文字以内の短いパスワードによる 10 個のハッシュ値について元のパスワードを見つけ出すことに成功した、と報告されている。
8文字以上推奨とか、たまに書かれているけど、8文字だといくらでとけるのかな?
>大きな計算リソースを使う作業のために自前で高性能な計算機を用意することなく、安価なクラウド型のサービスを利用してほいほいできてしまうとは、なかなか恐ろしい時代になったものである。
つまり、2ドル程度以下の価値がないとしたら、6文字以下でもええのとちゃうか?ということで、何文字だったらいくらぐらいで解けちゃうの概算って算出できないのかな?
Re: (スコア:0)
> 8文字だといくらでとけるのかな?
・6文字から2文字長くなる
・アルファベットは大文字小文字を区別
・0〜9の数字も含む
・記号は含まない
と条件を決めた場合、(26x2+10)の2乗で、2,704倍となる。
それに49分を掛けると約2,200時間=92日
# 掛け算についてうるさく言われるのがいやなので、AC
Re: (スコア:0)
ですね.けっこう現実的...
Re:リンク閉じ忘れ (Internet Watch の記事) (スコア:5, 参考になる)
今回の試みでは総当たりでチェックしているようなので、パスワードが1文字増えるごとに文字種の数の分だけ計算コストが増えます。7文字くらいまでならともかく、8文字になるとだいぶ料金が発生してしまいますね。9文字以上はさすがに厳しそうです。saltを加えたら手も足も出ないでしょう。
以下、今回使われたハッシュのリストと、EC2でのクラック(?)成否、元のパスワードです。
# 元ネタの人が検出できなかったパスワードについては、私が夜なべして見つけました。:-)
本家でも指摘されていますが、面白いことにリストの最後、これは空文字のSHA1ハッシュ値なのですが、こいつが検出できていないんです。つまり、一番簡単なはずの空文字についてはチェックしていなかったんですね。
とまあ、今回やっていることの内容は計算デモといった趣で、「これをパスワードクラックというにはちょっと素朴すぎるかなあ」という印象ではあります。とはいえ、EC2ではストレージ領域もそれなりに用意されているので、辞書と組み合わせてあれやこれやすることも可能でしょうね。
Re:リンク閉じ忘れ (Internet Watch の記事) (スコア:1)
単純に0バイト入力を取り洩らした可能性も無いではないですが、こういうことする人がそんなミスしてそれを確認もしないなんてのはちょっと変です。
多分、シノニムの検索ではないでしょうか。
BBSの投稿パスなどの簡易パスワードの場合、パスワード設定状況フラグを設けずに認証時に空パスワードのみ弾く形式の物もチラホラ存在します。
こういったシステムの場合、1バイト以上で空文字列と同様のハッシュを生成するキーワードがあると色々とアレゲなことが出来ます。
他にも0バイト入力のハッシュは応用例があるとは思いますが、そういう話だと思ったほうがいいかと思います。