Google検索結果を使用してパスワードの安全度を決定する

Question

グーグルは膨大な量のデータを索引付けするので、インターネットデータのリポジトリです。予測サービスを使用して、残りの検索クエリを決定します。

このように巨大なリポジトリを配置したら、それを利用してパスワードの強度を決定できますか？

その人気を判断するための検索クエリとしてパスワードを使用できますか？パスワードのヒット数に基づいて、パスワードにスコアを付けることはできますか？このモデルは実行可能ですか？

人気のあるパスワードは、Webページで、または検索クエリとしてより頻繁に使用されると思います。これは、長さが短いまれな単語に強いスコアが付けられることを意味するものではありません。これは明らかな理由によるもので、小さいパスワードはブルートフォースで検索したり、有限の時間でクエリを実行したりできます。

このモデルは、英語などの自然言語に準拠する長いパスワードの強度を判断するのに適していると思います。

この方法でパスワードの強度を測定することは簡単ですか？または、言い換えると、そのようなモデルがパスワードの強度を測定するために使用される場合、簡単な攻撃はありますか？

注：Googleとの信頼関係に問題がある場合は、独自のサービスを構築できると想定してください。

編集：調査（ https://madiba.encs.concordia.ca/~x_decarn/papers/password-meters-ndss2014.pdf ）は、今日展開されている強度メーターのほとんどが、作成中にユーザーを誤解させることを示していますパスワード。 Googleのような検索エンジンのリポジトリを使用して、パスワードの強度をより正確に測定できますか？多くの人が指摘するように、誤検知がありますが、それは既存の強度計よりも優れていませんか？

Bob Brown · Answer

どのパスワードが「人気がある」かについては多くの調査があります。あなたはここでそれの多くを見つけることができます： https://xato.net/passwords/more-top-worst-passwords/

Googleがクエリで何を行っているかを知る方法はありません。このようなクエリがログに記録され、元のIPアドレスに関連付けられていることはほぼ確実です。これは、Googleがテストしたパスワードのリストを持っていることを意味します。このリストはGoogleの従業員によって悪用される可能性があり、捜査令状、召喚状、証拠開示、またはその他の法的要求の対象となる可能性があります： https://www.aclu.org/blog/technology-and-liberty-国家安全保障/どのようにプライベート-あなたのオンライン検索履歴

私がGoogleの場合、ヒットしない検索語を調べます。それは彼らが彼らに彼らの魔法をさせるためのルールを書く方法です。そのため、あなたの実践はGoogleの研究者の注目を集めそうです。

最後に、簡単な攻撃があるかどうかを確認するために、パスワード攻撃者はまずさまざまなサイズのWordリストを試し、次にブルートフォース攻撃とヒューリスティック攻撃を行います。リストやGoogleのインデックスに記載されていない短いパスワードは、総当たりになります。長いパスワードはヒューリスティックに分類される場合があります。 Ars Technicaがこれについて一連の記事を書いた。最も関連性があるのはここです： http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

それを放棄。

Joe DeRose · Answer

非常に低い強度の「pa55w0rd987」でのGoogle検索の結果はありません： https://www.google.com/#newwindow=1&safe=off&q=pa55w0rd987

さらに、Googleは既知のデータのみを報告でき、非常に悪いパスワードがたくさんありますが、どのWebサイトにも表示されません。

これらの理由から、Googleはパスワードの強度をチェックするための有用なツールではないと断言します。（Bingや他の検索システムについても同様です。）

reirab · Answer

十分に強力なパスワード（および多くの不十分な強力なパスワード）は、Googleで0ヒットになるため、いいえ、それは実際に実行可能な方法ではありません。パスワードがすべて英語の単語で構成されている場合、辞書攻撃を使用して簡単に総当たりすることができます。パスワードにGoogleヒットがあったとしても、安全性はほぼ確実に不十分ですが、Googleヒットがなくても安全であることを意味するわけではありません。

また、理想的には、パスワードをネットワーク経由で誰にも送信しないでください。そして、暗号化されていない接続では絶対にありません。パスワードを送信する正しい方法は、最初にハッシュすることです。これにより、ハッシュを受け取った人でさえ、元のパスワードが何であったかを決して知ることができません。もちろん、正しい方法を使用していないウェブサイトはまだたくさんありますが、それは別の問題です。 Webサイトのあるアカウントにサインアップするときはいつもうんざりしていて、プレーンテキストのパスワードを含む確認メールが送られてきます。 facepalm

peterh - Reinstate Monica · Answer

警告：直接ネットワークから、特にGoogleにパスワードを送信する際に深刻なセキュリティ上の問題があります。どういうわけかそれがあなたにとって問題ではない場合にのみそれをしてください！（つまり、とにかくGoogleに大きく依存している隔離されたセキュリティコンテキストで作業している！）

@PlasmaHHユーザーは非常に明確なコメントをしました： "どちらがより強力で、2z63hg79fg79またはtf3m89j67hw396g3qh96g3q8b9？どちらもGoogleヒットの量が同じです。"

もちろん、それは本当です。

しかし、実際には、それをプレフィルター条件として使用できます。グーグルでヒットしたものを持っているものは、パスワードとして許可されるべきではありません。

彼のテストに合格したパスワードの強さは、すぐに比較的単純なエントロピーに基づく検査によって、またはウィキペディアの記事のタイトルによる最小のレーベンシュタイン距離計算によって測定できます（ここはこのトピックについての私の考えです））。

The Spooniest · Answer

Google検索でのパスワードの結果は、その強度をあまり示していません。他のユーザーは、ヒットのない低強度のパスワードの例をすでに示しています。

とは言っても、username（または、それがわかっている場合は実際の名前）でGoogle検索を行うのは良い考えかもしれません。最初のしきい値よりも頻繁に出現する単語、たとえば、3ページの結果は、簡単に推測できるものとして拒否される可能性があります。結果は、ある程度、各ユーザーに合わせて調整されますが、これにより、攻撃者に対する興味深い防御策が、通常よりもいくぶん決定的になる可能性があります。