web-dev-qa-db-ja.com

LastPassパスワードを本当に変更する必要がありますか?

先週末、LastPassのネットワークが侵害され、マスターパスワードのハッシュと一緒に電子メールアドレスのリストが盗まれました。 LastPassユーザーは、いくつかのセキュリティWebサイトでパスワードを変更することをお勧めします。 https://blog.lastpass.com/2015/06/lastpass-security-notice.html/

上記のLastPassリンクによると、「LastPassはランダムソルトと100,000ラウンドのサーバー側PBKDF2-SHA256に加えて、クライアント側で実行されるラウンドで認証ハッシュを強化します。」.

強力な(ランダムな30文字以上の)パスワードを持っている人がマスターパスワードを変更する手間がかかる本当の理由はありますか?私の理解では、ランダムなソルトと100,000ラウンドのPBKDF2-SHA256と長いパスワードがあれば、ハッカーが世界のGDPと同等の予算を持っていたとしても、パスワードはブルートフォース攻撃から安全であるということでした。私は何かを逃していないことを確認するためにこの質問をしています。

8
cuengi8

いいえ、30以上のランダムな文字パスワードが安全です

パスワードが30文字以上のランダムな文字である場合、可能なパスワードの数は95 ^ 30、つまり2.14e59をはるかに超えています。

Oclhashcrack ページは、16,904 Mh/sのSHA256のサンプルクラックレートを示します。それでは、「世界のGDPに等しい予算」でこれらのコンピュータの数百万がクラッキングを実行できると仮定しましょう。 (単純化のため、10,000ラウンドは無視しています)。

コンピュータは、100万台のコンピュータの1秒あたり160億回のハッシュを推測できます。これは、毎秒約1.6e16推測に相当します。したがって、それでも1.3e43秒かかります。これは、宇宙の年齢の3.1 e25倍に相当します。コンピューターの数に10を掛けると、宇宙の時代の3.1e24倍になります。

最後に、10,000ラウンドはハッシュ計算が10,000削減されることを意味することを考慮してください。さらに、ハッシュはランダムにソルト処理されることを考慮してください。つまり、攻撃は特定のハッシュを標的にする必要があります。

他の攻撃の可能性はどうですか?

攻撃者がラストパスネットワークにアクセスできたと考える場合、攻撃者は、Webサイトにログインするときにプレーンテキストで傍受することにより、30以上のランダムな文字パスワードのプレーンテキストを取得する可能性が高くなります。 Lastpassはこれが起こったことを示していませんが、これがパスワードを変更する現実的な理由になります。

2
amccormack

本当の危険は構造化された推測ではないと思います。推測では、平均して30以上のパスワードまたはパスフレーズが必要になります。しかし、平均すると、1日目には運が良いかもしれないことを意味し、パスワードを幸運なものにしたくないでしょう。

本当の危険は、何百万もの既知のパスワードを含む既存のリストです。それらを1つずつハッシュし、ハッシュを盗んだハッシュと比較することは非常に可能です。私は含まれているリストを見ました:

yTp3HHuuCTo9kyTp3HHuuCTo9kyTp3HHuuCTo9k

xc3xacntrxc3xackulxc3xacmbroqulxc3xac

yankeesayka-ofrp3olgavaner8913gruscha

werhnbkliopfdsrftgwerhnbkliopfdsrftg

welcomeelquehacequeelcorazonyore_21

whatabdulaziz.ahmadjonov.1977

williamshort.guy.with.blonde.hair

すべて30+、そしてすべてが危険にさらされています。私の知る限り、これが知っているパスワードリストのリスクに対処する唯一の方法は、文字や単語を本当にランダムに選択することです。これを行っていない場合、30以上のパスワードが危険にさらされます。

0
Dick99999