欧州委員会 39億超の実世界のアカウントのパスワードの推測可能性分析

こんにちは、丸山満彦です。

漏洩したアカウントとパスワードのリストの中で有意なアカウント（約39.5億ID）のパスワードの分析結果です。。。

漏洩した時期から若干傾向は変わっているかもしれませんし、普段使う言語やキーボード配列によってもパスワードで使う文字列の傾向は異なる可能性もあるのですが、そこまでの分析は入手したデータの特性上できていないようですが、参考にということで。。。

 

● EU Commission - EU Science Hub (Joint Research Centre)

・2021 How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts

How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts

デジタル・フォレンジック調査におけるパスワード・クラッキングの実行性は？39億超の実在するアカウントの推測可能性を分析する

Abstract: Passwords have been and still remain the most common method of authentication in computer systems. From accessing your smartphone, to setting up your online banking account or social identification, there is a plethora of passwords users are required toset and remember in hundreds of websites. While the sheer volume of different passwords makes it almost impossible for users to remember them, it also makes the job of law enforcement engaged in a digital investigation more difficult, especially since time is ofthe essence. Oftentimes, a password can be the crucial piece of the puzzle to prevent future crime activity or swiftly resolve a criminal investigation. To this end, this paper presents an analysis of the passwords associated with over 3.9 billion real-world accounts. To the best of our knowledge, an analysis of this scale has not been conducted before. This analysis includes statistics onuse and most common patterns found in passwords as well as an advanced analysis of the constituent fragments of passwords and a classification of the fragments according to their semantic meaning. Finally, we provide an in depth study on the guessability of thedataset of passwords.

概要 パスワードは、昔も今も、コンピュータシステムにおける最も一般的な認証方法です。スマートフォンへのアクセスから、オンライン・バンキングやソーシャル・アイデンティティの設定に至るまで、ユーザーは何百ものウェブサイトで膨大な数のパスワードを設定し、記憶する必要があります。膨大な数のパスワードは、ユーザーが記憶することを不可能にする一方で、デジタル捜査に携わる法執行機関の仕事を困難にしています。パスワードは、将来の犯罪行為を防止したり、犯罪捜査を迅速に解決したりするための重要なピースとなることがよくあります。そこで本稿では，そこで本稿では、39億件以上の実世界のアカウントに関連するパスワードの分析結果を紹介します。私たちの知る限り、この規模の分析はこれまでに行われたことはありません。この分析には、パスワードの使用状況や最も一般的なパターンに関する統計、パスワードを構成する断片の高度な分析、意味的な意味に基づく断片の分類などが含まれています。最後に、パスワードのデータセットの推測可能性に関する詳細な研究を行っています。

 

● Science Direct

・2021.07 How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts by AikateriniKanta^abSeinCoray^cIwenCoisel^bMarkScanlon^a

 

パスワードの強度を５段階にスコア化し、そのパスワード長がどのくらいになるのかを示した図とかもありますね。。。

Fig. 5. Password Length Distribution within zxcvbn Score Classes.

出典：上記論文

 

PDF↓もあります。

・[PDF] 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.18 スマートなパスワードクラッキングのためのオープンソースインテリジェンス