パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中國チームが発表

把密碼從“abc123”改成“123abc”,這么一點的變化就很危險?中國團隊研究
原創翻譯:龍騰網 http://www.gdsfy.cn 轉載請注明出處


中國の南開大學や北京大學などに所屬する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。
インターネットでサービスを利用すると、アカウント數が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような狀況において、新しいパスワードを都度設定するのは困難であり、その結果、同一のパスワードを使い回す人が多い。

隸屬于中國南開大學和北京大學的研究人員發表了論文《Pass2Edit:Multi-Step Generative Model for Guessing EditedPasswords》,這是一份研究報告,提出了一個觀點:將用戶的一項服務中使用的密碼稍加改變,就能預測并確定用戶在其他服務上重復使用的密碼,并進行攻擊。
互聯網上的服務,越用賬戶數就會增加。一般的用戶擁有80 ~ 107個賬戶。在這種情況下,每次都設置新的密碼是很困難的,結果導致很多人反復使用同一個密碼。

このような行動は、1つのサイトが攻撃を受けた場合、他のサイトも危険にさらされる可能性が高まる。それでも、パスワードの使い回しに懸念を抱く人は少なくない。事実、攻撃者にとっては格好の狙い目である。
注目すべきは、既存のパスワードを微調整(追加、削除、置換など)して使用する行為である。例えば、基準とするパスワード「abc123」を「abc123abc」や「123abc」「abc124」「abc321」「abc12」といった形で微調整して、別のサイトで使用するケースがある。研究によれば、ユーザーの21~33%が新しいアカウントで微調整したパスワードを使っていると報告されている。

這種行為在一個網站受到攻擊的情況下,其他網站也會受到威脅。即便如此,還是有不少人對密碼的重復使用沒有感到擔憂。事實上,對于攻擊者來說,這些就是絕佳的目標。
值得注意的是,對現有密碼進行微調(添加、刪除、替換等)后等行為,例如,將作為基準的密碼“abc123”以“abc123abc”、“123abc”、“abc124”、“abc321”、“abc12”等形式進行微調,然后在其他網站上使用。研究顯示,有21% ~ 33%的用戶會新賬戶中使用微調后的密碼。

最近注目されているのは、ユーザーが新しく少し違うパスワードを生成する際に、既存のパスワードをわずかに編集する傾向に対する攻撃である。この研究では、ユーザーの微調整パスワードを効率的に予測する手法「Pass2Edit」を提案する。
この提案手法では、ニューラルネットワークによる分類器を用いて、「元のパスワード」と「微調整したパスワード」の組み合わせを入力とし、「パスワードがどのように変わったか」を分類する。この學習によって、元のパスワードと微調整したパスワードとの関連性を訓練する。
データセットとしては、中國語および英語のサイトから48億個のパスワードを収集して利用している。

最近值得注意的是,針對用戶的這種行為,可以收集微調后的密碼信息進行攻擊。這就是該研究提出的一種有效預測用戶微調密碼的方法“Pass2Edit”。
該方案使用基于神經網絡的分類器,輸入“原始密碼”和“微調后的密碼”的組合,對“密碼發生了怎樣的變化”進行分類。通過深度學習,訓練原始密碼和微調后的密碼之間的關聯性。
數據集收集了來自中文和英文網站的48億個密碼。

実験の結果は次の通りである。100回の推測が許され、目標とするパスワードが元のパスワードと異なる場合を考慮した上で、Pass2Editの成功率は一般ユーザーに対して平均で24.18%、セキュリティに精通したユーザーに対しては11.68%を記録した。
1000回の推測が許された場合には、Pass2Editの成功率は一般ユーザーに対して30.34%、セキュリティに精通したユーザーに対しては15.32%を記録した。さらに、目標とするパスワードが元のパスワードと同一であるケースを含め、また人気のあるパスワード(例:「password」「123456789」)を選択するといったユーザーの脆弱な行動を考慮に入れた場合、攻撃成功率はさらに向上した。

實驗結果如下。在允許100次推測,并考慮目標密碼與原密碼不同的情況下,Pass2Edit對普通用戶的平均成功率為24.18%,對于那些精通安全的用戶則是11.68%。
在允許進行1000次推測的情況下,Pass2Edit對普通用戶的成功率為30.34%,對精通安全的用戶的成功率為15.32%。此外,包括目標密碼與原始密碼相同的情況,以及一些常用密碼(例如:有人會直接用“password”、“123456789”),則進一步提高了攻擊成功率。