【セキュリティ】複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう [すらいむ★] (121レス)
1-
1(2): すらいむ ★ 2024/05/03(金) 22:15:06.80 ID:pxsrMuag(1) AAS
複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう

 セキュリティ企業のHive Systemsは、NVIDIAビデオカードを用いたパスワード解読にかかる時間についての調査結果を発表した。
 2024年版として発表された同調査では、パスワードの文字数や構成およびビデオカードごとに、MD5とbcryptという2つのハッシュ方式の解読にかかる時間を測定している。

 パスワードはセキュリティ上の理由からハッシュ化して保存することが多く、ハッシュから元のパスワードを復元することはできない。
 これにより攻撃者がハッシュ化されたパスワードを解読する際には、可能性のある文字列をすべてハッシュ化し、盗んだハッシュと一致するかを試す「ブルートフォース攻撃」が用いられる。

 同社は、MD5とbcryptそれぞれにおいてハッシュ化されたランダムなパスワードをブルートフォース攻撃で解読するのに必要な最長時間を、ビデオカードごとに計測した。
 その結果、NISTが推奨する8文字のパスワードを使用した場合、MD5ではGeForce RTX 4090を使用すると、数字や大文字、小文字、記号をすべて使用しても1時間以内に解読できてしまうという。

(以下略、続きはソースでご確認ください)

impress 2024年5月2日 17:46
https://pc.watch.impress.co.jp/docs/news/1588850.html
102: 社説+で新規スレ立て人募集中 2024/05/07(火) 17:27:13.65 ID:PDjckWB1(1) AAS
8文字とかふざけてんのか
最低でも32文字だろ
103(1): 社説+で新規スレ立て人募集中 2024/05/07(火) 17:41:26.24 ID:yVC0BTlv(1) AAS
パスワードは限界だろ
はよ全てパスワードレスにしろ
104: 社説+で新規スレ立て人募集中 2024/05/07(火) 17:57:53.35 ID:DKj482PN(1) AAS
生体認証ってただの温度計じゃね?疑惑。
あるいは電気伝導度くらいは同時に計測してるかも知れんが。
生体であることは確認しました。しかし個体識別はしてません、みたいな。    
指先タッチするやつ、どの指使っても認証されるぞ。
105: 警備員[Lv.19(前25)][苗] 2024/05/08(水) 23:21:12.01 ID:+ghhGjAw(1) AAS
netバンクのパスワード数字4桁やが
106: 社説+で新規スレ立て人募集中 2024/05/09(木) 05:44:02.93 ID:Ux47jWxA(1) AAS
>>103
ノーガード戦法か
107(1): 社説+で新規スレ立て人募集中 2024/05/10(金) 00:54:27.61 ID:O4ALf6fS(1) AAS
>>101
こういう論文の趣旨を理解できない人って仕事でも見当違いのこと言って注意されてそう
108: 社説+で新規スレ立て人募集中 2024/05/10(金) 01:35:38.14 ID:S5uCrGgO(1) AAS
>>107
理解できてないのはお前じゃね?
109(1): 社説+で新規スレ立て人募集中 2024/05/10(金) 01:44:27.29 ID:JldlWc8G(1) AAS
>>101
それはハッシュ関数を10回繰り返すというハッシュ関数を1回やっただけだからね
計算量が単純に10倍になるけど利用者側の負担増と攻撃者の負担増が同じ比率じゃスマートじゃないね

過去にDESを3回繰り返す3DESって暗号形式があったけど廃れた理由を考えるべき
110: 社説+で新規スレ立て人募集中 2024/05/10(金) 08:24:51.65 ID:KhpEPnmw(1) AAS
3回ってばれてるからじゃないの?
111(1): 社説+で新規スレ立て人募集中 2024/05/10(金) 10:36:08.46 ID:tQYBHCO7(1) AAS
>>109
>計算量が単純に10倍になるけど利用者側の負担増と攻撃者の負担増が同じ比率じゃスマートじゃないね

総当たり攻撃なんだから、負担増が同じ比率になるのは必然なので、スマートじゃないのはお前な

>>101が馬鹿なのは、10時間で解かれちゃやっぱり駄目だってわかってないこと
112: 社説+で新規スレ立て人募集中 2024/05/11(土) 07:33:23.73 ID:GhtHbnk4(1) AAS
勘がいい人は3回以内に突破する
113(1): 社説+で新規スレ立て人募集中 2024/05/11(土) 09:27:42.63 ID:XnfNR6pw(1) AAS
>>111
バカは黙ってろ
仮に数字だけだとして1桁増えるごとに総当りは10倍になるが利用者の計算量は10倍を遥かに下回るだろうが
10回ハッシュ関数かけるくらいなら文字数を10文字増やす方が圧倒的に効率的
114(1): 社説+で新規スレ立て人募集中 2024/05/12(日) 05:19:11.90 ID:C+irThU+(1) AAS
ユーザーの入力したパスワードに文字列足して最大の32文字(MD5の場合)に強制的に拡張してハッシュ化すればいんじゃね?
内部で固定の32文字を持っててユーザーのパスワードに連結、先頭から32文字取り出してハッシュ化

これをクラックする手順は
ズボラな人が使いそうでなるべく長いパスワードを一つ想定する。
それが"password" (8文字)とすると残りの24文字をブルートフォースする。
"password" + "aaaaa...aaa"、"password" + "aaaaa...aab","password" + "aaaaa...aac" みたいな。
これから発生したハッシュがたまたま盗んだファイルにあればビンゴ、みたいな。

ただ表から最強のChatGPT使っても24文字ブルートフォースするのは,300億年かかるな。
現実的な値が出るのは15文字=3年、16文字=300年あたりか。

別ルートで固定文字列を入手するんであれば、(逆アセンブル?)もうブルートフォースの話じゃなくなるな。
115: 社説+で新規スレ立て人募集中 2024/05/12(日) 05:56:15.38 ID:z48EWciE(1) AAS
これ目的のパスワードのハッシュが手元にある前提で総当たりかけた時に一致するハッシュが得られるまでの時間でしょう?
ハッシュ値の入手方法は別の話だよね
116: 社説+で新規スレ立て人募集中 2024/05/12(日) 09:55:34.76 ID:3P9EMkp+(1) AAS
>>113
>>1
>NISTが推奨する8文字のパスワードを使用した場合

ってゴールポスト動かす馬鹿www

>>114
こりゃまたすげー馬鹿だな、>>11を超えたな
117: 社説+で新規スレ立て人募集中 2024/05/12(日) 14:18:44.50 ID:SgF7MXEz(1) AAS
パスワードを変換した値があれば1時間で照合できる、ってことだよな?
何回間違えたらロックとか前提として噛み合ってないよな
118: 社説+で新規スレ立て人募集中 2024/05/12(日) 14:36:56.47 ID:sKDpI9Bk(1) AAS
パスワードにUnicode使えば解読不能だろ
119: 社説+で新規スレ立て人募集中 2024/05/12(日) 18:47:04.55 ID:GMGGuh4h(1) AAS
https://images.squarespace-cdn.com/content/v1/5ffe234606e5ec7bfc57a7a3/c8c21f1a-ac0a-4dd5-97bf-51a2e4fa63e4/Hive+Systems+Password+Table+-+2024+Square.png
120: 2024/05/17(金) 11:17:00.77 ID:nPTCxyhZ(1) AAS
うちの職場はパスワード最低20文字が三つ必要
3ヶ月に一度パスワード変更必須
メモしないと覚えられないがメモしたら懲戒処分
キツすぎる
121: 2024/05/17(金) 15:25:00.97 ID:6iWk4aok(1) AAS
うちも3ヶ月に1回の変更を求められるけど1回変えてすぐに戻してる人もいる
俺は大文字で入力する文字を1つずつずらしている
1-
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.541s*