Benchmarks Brawte nfaq 0 Comments

8文字のWindows NTLMパスワードを使っていますか?やめましょう。どれも2.5時間以内に解読されてしまいます。

Table of Contents

8文字のWindows NTLMパスワードを使っていますか?やめましょう。どれも2.5時間以内に解読されてしまいます。

オープンソースのパスワード回復ツールである HashCat は、アベンジャーズ/エンドゲームを観るよりも短い時間で、8 文字の Windows NTLM パスワード ハッシュを解読できるようになりました。

2011 年、セキュリティ研究者の Steven Meyer 氏は、8 文字 (53 ビット) のパスワードをブルート フォース攻撃で 44 日で解読できることを実証しました。これは、GPU とレインボー テーブル (逆ハッシュ関数用の事前計算済みテーブル) を使用すれば 14 秒で解読できることを意味します。

開発者のジェフ・アトウッドが2015年に同様の発言をした当時、パスワードの平均文字数は約8文字でしたが、その後も状況が大きく変化した兆候は見られません。今週、ダークウェブマーケットで約6億2000万件の盗難されたWeb認証情報が売りに出されていることを考えると、今こそパスワードを見直す絶好の機会と言えるでしょう。

水曜日のTwitter投稿で、このソフトウェアプロジェクトの関係者は、オフライン攻撃で8つのNvidia GTX 2080Ti GPUを使用して手動で調整されたバージョン6.0.0 HashCatベータ版が、100GH/s(ギガハッシュ/秒)というNTLMクラッキング速度のベンチマークを超えたと述べた。

「現在のパスワードクラッキングのベンチマークでは、どんなに複雑なパスワードでも、最低8文字のパスワードであれば、そのハードウェアリグを使えば2.5時間以内に解読できることが示されています」と、TwitterでTinkerという偽名を使うハッカーはThe Registerとのダイレクトメッセージで説明した。「8文字のパスワードはもう時代遅れです。」

少なくとも、WindowsとActive Directoryに依存する組織へのハッキング攻撃という観点では、NTLMはもはや時代遅れです。NTLMは古いMicrosoft認証プロトコルで、後にKerberosに置き換えられました。Tinker氏によると、NTLMはWindowsのパスワードをローカルに保存したり、Active DirectoryドメインコントローラーのNTDS.ditファイルに保存したりするために今でも使用されています。

加工兵器庫

より堅牢なハッシュアルゴリズムは、解読に時間がかかり、場合によっては桁違いに長くなることがあります。比較として、IBMが2017年にNTLMとHashcatで334GH/sのハッシュ解読速度を達成したのに対し、bcryptとHashcatではわずか118.6kH/sでした。しかし、適切に短いパスワードであれば、ハッシュ化されたパスワードを解読しようとする者は、必要な計算能力を得るためにクラウドサービスにお金を払うことができます。

Tinker 氏は、説明されている GPU パワーを購入するには約 10,000 ドルかかると見積もっています。一方、8 文字の NTLM パスワード ハッシュを解読するために必要なコンピューター パワーは、Amazon のクラウドでわずか 25 ドルでレンタルできると主張する人もいます。

NISTの最新ガイドラインでは、パスワードは少なくとも8文字の長さにする必要があるとされています。しかし、オンラインサービスプロバイダーの中には、それほど長いパスワードを要求していないところもあります。

セキュリティ研究者のトロイ・ハント氏が昨年、さまざまなウェブサイトのパスワードの最小文字数を調査したところ、Google、Microsoft、Yahoo!が基準を8文字に設定しているのに対し、Facebook、LinkedIn、Twitterでは6文字しか必要としていないことがわかった。

ティンカー氏は、8 文字のパスワードがベンチマークとして使われたのは、多くの組織がパスワードの最小文字数としてこれを推奨しており、多くの企業の IT ポリシーがそのガイドラインを反映しているからだと述べた。

パスワード

私の名前、パスワード、または魂のいずれかが無効です。しかし、どれでしょうか?

続きを読む

「複雑なパスワード(大文字、小文字、数字、記号)を使うという考え方を推し進めてきたため、ユーザーが個々のパスワードを覚えるのが難しくなっています」とティンカー氏は述べた。「このため、ユーザーは複雑なパスワードを覚えるために、最低限必要な文字数を選ぶ傾向にあります。そのため、多くのユーザーが最低限必要な8文字を選んでいます。」

では、次の技術革新が全てを変えるまで、ぐっすり眠るにはどれくらいの期間が必要なのでしょうか?ティンカー氏は、オンラインコミック「XKCD」で人気を博した4語の例「correcthorsebatterystaple」のような、ランダムな5語のパスフレーズを推奨しています。

または、パスワード管理アプリ経由で最大長のランダムパスワードを設定し、どちらの場合も 2 要素認証を有効にします。

HaveIBeenPwnedの管理者Troy Hunt氏はTwitterのDMでThe Registerに対し、ウェブアプリはNTLMよりも優れたハッシュアルゴリズム(bcryptなど)を使うことが増えているものの、「私はいつも1Passwordで生成されたランダムな文字を数十文字のパスワードにしています」と語った。®

Benchmarks

Smart Recommendations

Discover More