Upgrade to Pro — share decks privately, control downloads, hide ads and more …

国や地域によるパスワード特性の差異分析

Shodai Kurasaki
March 04, 2022
810

 国や地域によるパスワード特性の差異分析

2022年3月に情報処理学会第84回全国大会で発表した論文の発表スライドです。

Shodai Kurasaki

March 04, 2022
Tweet

Transcript

  1. 1 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法

    – 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
  2. 背景 2 パスワードの強度指標には 推測攻撃への耐性が適していることが示唆されている (Tanら@CCS2020)。 一方、ユーザが設定するパスワードの特徴が、 国ごとに違うことがいくつかの研究で知られている (森ら@IEICE Trans. On

    Inf. & Sys.2020)。 より正確な推測攻撃耐性の計測には 国ごとに辞書の用意が必要 しかし、辞書の違いによる推測攻撃の成功率の差異が 細かく論じられていない
  3. 4 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法

    – 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
  4. 評価方法 推測耐性評価 hashcat 8 辞書に掲載している単語をルールに基づいて 変更や切り取り、拡張などをすることで 網羅的かつ効率的な推測攻撃を行う攻撃モード 例:password→Password, password1 Rule-based

    attackモードで攻撃 ルールには”best64.rules”を採用 Rule-based attackモード hashcatの開発元が変更ルールとして 最も効率が良いとした77行分のルールのセット best64.rules 利用ツール
  5. 10 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法

    – 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
  6. 他TLD推測時に有効な辞書TLD(評価 ) 上位(汎用性が高い) 下位(汎用性が低い) ca(カナダ) 9 cn(中国) 15 com 9

    kr(韓国) 12 net 9 tr(トルコ) 10 org 9 th(タイ) 9 edu 6 vn(ベトナム) 7 13 2 他TLD推測時に推測成功率が高かった辞書のTLDが 辞書TLDとして汎用性の高いTLDと判断し、 4032の組み合わせに対して、各辞書TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、辞書TLDとして頻出するTLD
  7. 他TLD推測に耐性のあるTLD(評価 ) 上位(推測耐性が高い) 下位(推測耐性が低い) fi(フィンランド) 32 au(オーストラリア) 13 be(ベルギー) 14

    us(アメリカ) 12 nl(オランダ) 12 vn(ベトナム) 12 hu(ハンガリー) 7 ca(カナダ) 9 eu 6 nz(ニュージーランド) 7 15 3 他TLD推測時に推測成功率が低く済んだ攻撃対象のTLDが 推測耐性の高いTLDと判断し、 4032の組み合わせに対して、攻撃対象TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、攻撃対象TLDとして頻出するTLD