web-dev-qa-db-ja.com

2017におけるMD5 Preimageの脆弱性

私は最近、私たちの(厳密に内部に直面している-他のシステムが完全に侵害されない限り外部リスクはない)プラットフォームの1つがパスワードをソルトしてからMD5ハッシュして保存していることを発見しました。ウィキペディアの記事によると、MD5は衝突に対して非常に脆弱ですが、理論的にはプリイメージ攻撃に対してのみ脆弱です(コストは2以下)。123)。この記事は、2009年に作成されたプリイメージ攻撃を引用しています。プレイメージ攻撃に対するMD5の脆弱性について、それよりかなり最近の情報は見つかりません。

結果として、私の質問は次のとおりです。2つ未満のコストで、衝突を検出するか、パスワードを決定するために、ハッシュされたパスワードへのプリイメージ攻撃を可能にする脆弱性がMD5で見つかりましたか?123

追加質問として、パスワードハッシュのためにMD5から離れるようベンダーに圧力をかけようとすることはどれほど重要ですか?これは重大かつ差し迫った脆弱性ですか、それとも理論的な将来の脆弱性ですか(データベースに違反した場合)。

11
Cowthulhu

MD5はパスワードの使用に関して完全に危険にさらされていると見なされるべきであり、長い間パスワードに対して「非推奨」でした。プリイメージ攻撃や明示的な脆弱性を含める必要もありません。 MD5に対する最新のGPUスタックのハッシュレートが非常に速いため、ほぼすべてのパスワードをブルートフォースで実行できるという事実と同じくらい簡単です(そうです、私は少し誇張しています)

これは極端な設定です ですが、1秒あたり約2,000億のハッシュを実行できます。つまり、MD5としてハッシュすると、毎秒約2,000億のパスワードを推測できることになります。正確な翻訳はありませんが、ご想像のとおり、毎秒2,000億のパスワード推測を試すことができるということは、強力なパスワードでも簡単に解読される可能性があることを意味します。この記事は、14文字のウィンドウXPパスワード(これは少し弱いですが、MD5の場合のハッシュレートの約2倍です)をわずか7分でクラックできることを示唆しています。

より現実的なハッシュ設定では、パスワードをその約10分の1の割合でハッシュする可能性がありますが、MD5でハッシュされた現実的なパスワードをブルートフォースにすることも可能です。

質問の後半に対応するように編集します

これは差し迫った脅威ですか?はいといいえ。この内部システムが侵害された場合にのみパスワードが脆弱になるため、実際にはこれは理論的な脅威です。ただし、犯罪者が何かを求めたときに通過する非常に複雑な種類のハッキングについて読むほど、システムのすべてのレベルでセキュリティを徹底することがいかに重要であるかを理解できます。私は個人的に、内部システムは外部システムと同じくらい安全であるべきだと信じています。これは、セキュリティが悪いために高額の違反が発生する好例です。

https://gizmodo.com/hackers-found-a-new-way-to-rip-off-atms-1818859798

さらに、もう1つの問題は、MD5が長い間パスワードの保存に「時代遅れ」であったことです。私はvery彼らのセキュリティの残りが同様に時代遅れであり、あなたのこの内部システムがセキュリティホールでいっぱいであることを心配しています。

別の編集

心に留めておくべき重要な考え:これらの事柄に関して重要な考慮事項は、違反の際に行われる潜在的な損害です。この内部システムの機能はわかりませんが、確実に保存される重要な情報が1つあります。それはユーザーのパスワードです。それがすべて格納されているとしても、それは潜在的に危険です。これは非常にもっともらしい最悪のシナリオです。この内部システムにユーザーアカウントを持つ管理者がいる確率はどのくらいですか?もしそうなら、その人が社内システムに、たとえば会社全体の電子メールシステムを管理するためにパスワードと同じパスワードを使用した確率はどのくらいですか?もしそうなら、それはショートホップであり、スキップして、MD5パスワードの解読から電子メールシステムの制御まで、そしてそこからおそらくWebに接続している会社のあらゆる側面にジャンプします。

内部システムの管理者と協力して問題を解決しようとする場合、この思考プロセスを自分で考え、適切な措置を講じることができます。彼らは引き起こすことができますか?」 1つの電子メールアカウントのセキュリティに依存しているシステム全体と、2FAのないシステムが効果的に存在する企業がいくつあるかは、驚くでしょう。それがあなたの会社に当てはまる場合は、このサードパーティベンダーの発言に関係なく、修正する必要があります。そうでなければ、最悪のシナリオは非常に悪く、この内部システムは悪意のある攻撃者があなたの会社をだますことができるかもしれない多くの方法のうちの1つにすぎません。

16
Conor Mancone

ScryptまたはArgon2idのどちらか、より新しいパスワードハッシュの使用を検討してください。

GPUベースの辞書攻撃は、ハッシュがSHA512であっても、ソルトハッシュに対して残酷に効果的です。 PBKDF2は非常に貧弱なハッシュアルゴリズムであり、簡単な衝突と防御力の欠如があります。 Bcryptは問題ありませんが、GPUでは非効率的な最新のメモリハードパスワードハッシュアルゴリズムに安全に切り替えることができます。 Scryptは広く普及していますが、それでも非常に優れていますが、Argon2idにアクセスできる場合は、それを使用します。

MD5ハッシュとソルトのランダムなサンプルを送ってください。対応するパスワードの90%を24時間以内に返信します。私は、GPUなしでそれらをクラックします。ラップトップを使用するだけです。本当に。 HashCatをダウンロードするだけで、プラグアンドチャグです。

1
Bill Cox