« 中国 デジタル村建設ガイド1.0 | Main | ISO/SAE 21434:2021 路上走行車 — サイバーセキュリティ エンジニアリング (Road vehicles — Cybersecurity engineering) at 2021.08.31 »

2021.09.07

欧州委員会 39億超の実世界のアカウントのパスワードの推測可能性分析

こんにちは、丸山満彦です。

漏洩したアカウントとパスワードのリストの中で有意なアカウント(約39.5億ID)のパスワードの分析結果です。。。

漏洩した時期から若干傾向は変わっているかもしれませんし、普段使う言語やキーボード配列によってもパスワードで使う文字列の傾向は異なる可能性もあるのですが、そこまでの分析は入手したデータの特性上できていないようですが、参考にということで。。。

 

EU Commission - EU Science Hub (Joint Research Centre)

・2021 How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts

How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts デジタル・フォレンジック調査におけるパスワード・クラッキングの実行性は?39億超の実在するアカウントの推測可能性を分析する
Abstract: Passwords have been and still remain the most common method of authentication in computer systems. From accessing your smartphone, to setting up your online banking account or social identification, there is a plethora of passwords users are required toset and remember in hundreds of websites. While the sheer volume of different passwords makes it almost impossible for users to remember them, it also makes the job of law enforcement engaged in a digital investigation more difficult, especially since time is ofthe essence. Oftentimes, a password can be the crucial piece of the puzzle to prevent future crime activity or swiftly resolve a criminal investigation. To this end, this paper presents an analysis of the passwords associated with over 3.9 billion real-world accounts. To the best of our knowledge, an analysis of this scale has not been conducted before. This analysis includes statistics onuse and most common patterns found in passwords as well as an advanced analysis of the constituent fragments of passwords and a classification of the fragments according to their semantic meaning. Finally, we provide an in depth study on the guessability of thedataset of passwords. 概要 パスワードは、昔も今も、コンピュータシステムにおける最も一般的な認証方法です。スマートフォンへのアクセスから、オンライン・バンキングやソーシャル・アイデンティティの設定に至るまで、ユーザーは何百ものウェブサイトで膨大な数のパスワードを設定し、記憶する必要があります。膨大な数のパスワードは、ユーザーが記憶することを不可能にする一方で、デジタル捜査に携わる法執行機関の仕事を困難にしています。パスワードは、将来の犯罪行為を防止したり、犯罪捜査を迅速に解決したりするための重要なピースとなることがよくあります。そこで本稿では,そこで本稿では、39億件以上の実世界のアカウントに関連するパスワードの分析結果を紹介します。私たちの知る限り、この規模の分析はこれまでに行われたことはありません。この分析には、パスワードの使用状況や最も一般的なパターンに関する統計、パスワードを構成する断片の高度な分析、意味的な意味に基づく断片の分類などが含まれています。最後に、パスワードのデータセットの推測可能性に関する詳細な研究を行っています。

 

Science Direct

・2021.07 How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts by AikateriniKantaabSeinCoraycIwenCoiselbMarkScanlona

 

パスワードの強度を5段階にスコア化し、そのパスワード長がどのくらいになるのかを示した図とかもありますね。。。

1s20s2666281721000949gr5_lrg

Fig. 5Password Length Distribution within zxcvbn Score Classes.

出典:上記論文

 

PDF↓もあります。

・[PDF

20210907-31342

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.18 スマートなパスワードクラッキングのためのオープンソースインテリジェンス

 

|

« 中国 デジタル村建設ガイド1.0 | Main | ISO/SAE 21434:2021 路上走行車 — サイバーセキュリティ エンジニアリング (Road vehicles — Cybersecurity engineering) at 2021.08.31 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 デジタル村建設ガイド1.0 | Main | ISO/SAE 21434:2021 路上走行車 — サイバーセキュリティ エンジニアリング (Road vehicles — Cybersecurity engineering) at 2021.08.31 »