MD5パスワードハッシュの60%は1時間以内に破られる可能性がある

セキュリティ

ワールドパスワードデーおめでとうございます。いよいよこの記念日を廃止し、「パスワード不要の日」に変更する時が来たのでしょうか？

ワールドパスワードデーですが、supposedly安全なパスワードハッシュの大多数が単一のGPUで1時間以内に、場合によっては1分以内に破られる可能性があるというニュースほど祝う方法はありません。

ダークウェブリークから入手した2億3100万以上のユニークなパスワードのデータセット（前回の調査以降に追加された3800万を含む）を使用し、MD5でハッシュ化したセキュリティ企業Kasperskyの研究者は、発見しました。Nvidia RTX 5090グラフィックスカード1枚を使用すると、パスワードの60%が1時間以内に、満48%が60秒以内に破られる可能性があります。

確かに、その価格を考えると、一般的なデスクトップグラフィックスプロセッサーではありません。しかし、これは重要なポイントを示しています。パスワードハッシュを破るのに必要な時間はわずかです。Kaspersky氏が指摘する通り、サイバー犯罪の志望者でさえ、自分の5090を必要とせず、クラウドプロバイダーから簡単にレンタルでき、数ドルでハッシュを破ることができます。

結論としては、MD5などの高速ハッシュアルゴリズムによってのみ保護されているパスワードは、データ漏洩で攻撃者に入手された場合、もはや安全ではありません。

「攻撃者がリークで見つけたパスワードの5つに3つを破るのに必要な時間は1時間です」とKaspersky氏は述べました。

パスワードハッシュが破られやすくなった主な理由は、パスワードの予測可能性です。Kaspersky社による2億以上の露出したパスワードの分析によると、攻撃者がクラッキングアルゴリズムを最適化するために使用できる一般的なパターンが明らかになり、対象アカウントへのアクセスを許可する文字の組み合わせを推測するのに必要な時間が大幅に短縮されます。

これと比較するトレンドがあるかどうかについて疑問に思っている場合、Kaspersky社は2024年にこの調査の前回版を実施しており、悪いニュースは次の通りです。パスワードは実際には2024年より2026年の方が少し破られやすくなっています。正確には数パーセント程度ですが、それでも悪い方向への動きです。

「攻撃者がこのスピード向上を負っているのは、毎年より強力になるグラフィックスプロセッサです」とKaspersky氏は説明しました。「残念ながら、パスワードは相変わらず同じくらい弱いままです。」

「パスワードへの依存をやめましょう」というワールドデーはどうでしょうか？

パスワードの死に関するニュースは、残念ながら過去数十年間誇大広告されてきました。しかし、私たちのほとんどは依然として1日に何度も依存しています。El Reg読者にとって、ワールドパスワードデーのようなイベントのピッチで溢れており、今年受け取ったほとんどのイベントは同じ結論でした。パスワードを廃止するために加速する必要があるか、または少なくとも私たちのセキュリティパラダイムを再考する必要があります。

マネージドサービスプロバイダー大手Thriveの傭兵CISOであるChris Gunner氏は、メールコメントで、パスワードを完全に廃止する理由はないが、より広いアイデンティティベースのセキュリティ戦略の一部であるべきだと述べました。

「強力なパスワードでも、より広いアイデンティティとアクセス環境が適切に管理されていない場合は損なわれる可能性があります」とGunner氏は述べました。パスワードは第2の要因と組み合わせるべきであり、好ましくはバイオメトリクスであると述べました。なぜなら、ハッカーが迂回するのが最も難しいからです。

「MFAコントロールは、その後、アイデンティティガバナンスとエンドポイント保護に参加する必要があります。そのため、システム間のギャップが減少します」とGunner氏は追加し、より広いゼロトラストモデルを確立することをお勧めしました。これにより、侵害されたアカウント経由の水平方向の移動の可能性が制限されます。

IEEE上級会員およびノッティンガム大学サイバーセキュリティ教授Steven Furnell氏は、ワールドパスワードデーのメッセージングが個人的なセキュリティ態勢の改善を人々に伝えるだけで止まるべきではないと述べました。パスワードはかなり長い間どこにも行きません。Furnell教授はメールで説明しました。新しいセキュリティテクノロジーの採用が矛盾していることは、特定のプロバイダーが適応に失敗する可能性があるため、ユーザーはリスクに晒されます。

「多くのサイトとサービスはまだパスキーサポートを提供していないため、ユーザーは混在したログイン経験に直面する可能性があります」とFurnell氏は説明しました。「一部の人は、ユーザーが自分たちを適切に保護するのはユーザーの責任だと主張するかもしれませんが、彼らはその方法を知る必要があります。」

教授は、多くの場合、ユーザーに適切な最新パスワードを作成する方法が指示されていないこと、および他の場合、サイトは単にパスワードを安全にするために適切なパスワード要件を強制していないことに気付きました。

「このワールドパスワードデーでは、主なメッセージはしばしばパスワードを使用する以外に選択肢がないユーザーに対してではなく、パスワードを使用することを要求しているサイトとプロバイダーに対してであるべきです」とFurnell氏は述べました。

あなたは人を聞きました。ユーザーセキュリティスタックをアップグレードする時が来ました。これらのパスワードがどんなに安全だと思っていても、複雑な要件と適切なハッシュ保存を備えていても、誰かが侵入するのに長くはかからないでしょう。これにより、最初のドアの後ろにもう1つの施錠されたドアがあることを確認することが組織的な責任となります。