文字や数字を組み合わせたパスワードを使っているのなら用心が必要だ。
スイスの研究者が、英数字で構成されるWindowsのパスワードをすばやく解読する方法を概説した論文を22日に発表した。この論文によると、このようなコードを解読するのにこれまで平均で1分41秒かかっていたのが、わずか13.6秒に短縮されたという。
この手法は、大規模なルックアップテーブルを使い、エンコードしたパスワードとユーザーが入力したオリジナルのテキストとを照合し、コードを解読するのに必要な計算を高速化するというもの。「タイムメモリ・トレードオフ」と呼ばれるこの状況は、大容量のコンピュータメモリを手にした攻撃者が、秘密のコード解読にかかる時間を短縮できることを意味する。
この研究結果は、多くのセキュリティ研究者が懸念する事実を浮き彫りにしている。すなわち、Microsoftがパスワードをエンコードするやり方には、いつくかの弱点があり、このような解読テクニックをとりわけ有効なものにしてしまうと、ローザンヌにあるSwiss Federal Institute of Technologyの暗号機密保護研究所で上級リサーチアシスタント兼講師を勤めるPhilippe Oechslinは、CNET News.comへの電子メールのなかで記している。
「Windowsのパスワードは出来があまりよくない」とOechslin。「Windowsのパスワードの問題は、その仕組みのなかにランダムな情報がまったく含まれていないということだ。」
Oechslinは22日に、このようなランダム情報の欠如を逆手にとる方法について概説した論文を発表、併せてこのテクニックに関するデモをウェブ上で行った。今回の研究は、大規模なルックアップテーブルを使えば、暗号化に用いられるアルゴリズムの処理速度が早まるという、先行する研究成果を基にしている。ルックアップテーブルのサイズを大きくすることで、パスワード検索にかかる平均時間を短縮できる。
この研究者は、AMD 2500+プロセッサと1.5GバイトのRAMを搭載したコンピュータ上で、1.4Gバイトのルックアップテーブルを使い、興味のある人が同プロセスをオンラインで試す機会を提供した。
Oechslinは、この論文を発表する前にMicrosoftに問題を知らせなかったと述べた。調査の目的は、あくまでも効率的なタイムメモリトレードオフをつくりだすことについてであり、Microsoftのパスワードを解読することではないと説明している。
「新たな脆弱性が見つかったわけというわけではない」とOechslin。「この問題が初めて詳細に取り上げられただけだ。Microsoftのパスワードは、理論的な結果をデモするための格好の例だったにすぎない」。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス