Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
国や地域によるパスワード特性の差異分析
Search
Shodai Kurasaki
March 04, 2022
3
810
国や地域によるパスワード特性の差異分析
2022年3月に情報処理学会第84回全国大会で発表した論文の発表スライドです。
Shodai Kurasaki
March 04, 2022
Tweet
Share
More Decks by Shodai Kurasaki
See All by Shodai Kurasaki
辞書攻撃における国や地域のパスワード特性分析
shodaikurasaki
0
180
Featured
See All Featured
How to Ace a Technical Interview
jacobian
275
23k
Ruby is Unlike a Banana
tanoku
96
11k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.2k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Automating Front-end Workflow
addyosmani
1365
200k
Building Applications with DynamoDB
mza
90
6.1k
A better future with KSS
kneath
238
17k
Making Projects Easy
brettharned
115
5.9k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Build The Right Thing And Hit Your Dates
maggiecrowley
32
2.4k
Transcript
国や地域による パスワード特性の差異分析 Analysis of Differences in User Password Characteristics by
Countries 2022/03/04 〇倉﨑 翔大、金岡 晃(東邦大)
1 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法
– 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
背景 2 パスワードの強度指標には 推測攻撃への耐性が適していることが示唆されている (Tanら@CCS2020)。 一方、ユーザが設定するパスワードの特徴が、 国ごとに違うことがいくつかの研究で知られている (森ら@IEICE Trans. On
Inf. & Sys.2020)。 より正確な推測攻撃耐性の計測には 国ごとに辞書の用意が必要 しかし、辞書の違いによる推測攻撃の成功率の差異が 細かく論じられていない
目的とアプローチ 国Aのパスワード群への推測攻撃に用いる辞書を 国A用のものにしたときと他国用のものにしたときの 差異がどのようになるか 3 パスワード推測攻撃の成功率の差異を国別に調べ その特徴を明らかにする 汎用性の高い辞書を持つ国はどこか 他国用の辞書による推測への耐性の強い国はどこか 1
2 3 アプローチ方法
4 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法
– 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
利用データ 5 • 過去の漏洩データを集約したと思われるもの • 平文パスワードだけでなく、 IDとなるメールアドレスとペアになったデータセット • 1,400,553,869ペア 2017年に発見されたパスワード漏洩データセット
利用データ 分割後、データ数が10万以上であった 64のTLDのデータを利用 各TLDのデータごとの頻出パスワード上位1万を そのTLDに特化した辞書とした 6 国別という明確なラベルがないので、 国の影響を色濃く受けると想定されるラベルとして メールアドレスのTLDを採用し、データセットを分割した
略語 7 • 自TLD辞書 – 推測攻撃の対象となるTLDの推測に特化した辞書 • 他TLD辞書 – 推測攻撃の対象となるTLD以外のあるTLDの推測に特化した辞書
• 自TLD推測 – 自TLD辞書による推測 • 他TLD推測 – 他TLD辞書による推測
評価方法 推測耐性評価 hashcat 8 辞書に掲載している単語をルールに基づいて 変更や切り取り、拡張などをすることで 網羅的かつ効率的な推測攻撃を行う攻撃モード 例:password→Password, password1 Rule-based
attackモードで攻撃 ルールには”best64.rules”を採用 Rule-based attackモード hashcatの開発元が変更ルールとして 最も効率が良いとした77行分のルールのセット best64.rules 利用ツール
推測耐性評価 9 各TLDに特化した辞書(自TLD辞書、他TLD辞 書)を使って 64個のTLDデータに対する推測成功率を 計64×64=4096パターンで計測 自TLD推測となる際は、交差検証で計測 評価方法
10 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法
– 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
11 自TLD推測と他TLD推測の成功率(評価 ) 1 自TLD推測の成功率 > 他TLD推測の成功率 平均値 21.9% 平均値
11.3%
12 自TLD推測の成功率が低いTLDが上位から タイ・フィンランド・ベルギー・スイス・台湾・ EU・トルコ・マレーシア・韓国・日本 となっており、 欧州でも北寄りの国家とアジアの国家のccTLDが多い best64は英語圏パスワード向け? 辞書掲載単語の変更ルールも 国や地域ごとに適したものがある可能性 自TLD推測と他TLD推測の成功率(評価
) 1 考察
他TLD推測時に有効な辞書TLD(評価 ) 上位(汎用性が高い) 下位(汎用性が低い) ca(カナダ) 9 cn(中国) 15 com 9
kr(韓国) 12 net 9 tr(トルコ) 10 org 9 th(タイ) 9 edu 6 vn(ベトナム) 7 13 2 他TLD推測時に推測成功率が高かった辞書のTLDが 辞書TLDとして汎用性の高いTLDと判断し、 4032の組み合わせに対して、各辞書TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、辞書TLDとして頻出するTLD
他TLD推測時に有効な辞書TLD(評価 ) 14 2 汎用性が高いTLDは、gTLDと英語圏のccTLDとなった。 一方、汎用性が低いTLDは、中国・韓国・トルコ・タイ・ベトナム といったアジア諸国のccTLDが上位を占めた。 汎用性が高いTLDがgTLDと英語圏のccTLDとなっているのは、 英語圏のTLD数が多いことが原因と考えられる。 汎用性が低いTLDがアジア諸国のccTLDに占められているのは、
非英語圏であることや、ccTLDや言語自体の独立性が高いことが 原因と考えられる。 考察 結果
他TLD推測に耐性のあるTLD(評価 ) 上位(推測耐性が高い) 下位(推測耐性が低い) fi(フィンランド) 32 au(オーストラリア) 13 be(ベルギー) 14
us(アメリカ) 12 nl(オランダ) 12 vn(ベトナム) 12 hu(ハンガリー) 7 ca(カナダ) 9 eu 6 nz(ニュージーランド) 7 15 3 他TLD推測時に推測成功率が低く済んだ攻撃対象のTLDが 推測耐性の高いTLDと判断し、 4032の組み合わせに対して、攻撃対象TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、攻撃対象TLDとして頻出するTLD
他TLD推測に耐性のあるTLD(評価 ) 16 推測耐性が低いTLDの多くは英語圏のTLDであったが、 表にあるベトナム(vn)に加え、オマーン(om)や アイルランド(ie)といった非英語圏のccTLDも含まれた。 3 推測耐性が低い非英語圏TLDは、ドメイン利用がその国のみならず 汎用TLDのように世界に開放されていることから ドメインが英語圏ユーザーの多いサービスで採用され、
パスワード集団として英語圏の性質が強い可能性が考えられる。 考察 結果
まとめ 17 パスワード強度評価の結果が、 パスワードの強度を 正しく示せていない可能性が明らかになった。 パスワード推測攻撃の成功率の差異を国別に調べ その特徴を明らかにする。 目的 国別データの代わりにTLD別データを用い、 64のTLDに関して推測耐性評価を行った。
アプローチ 推測攻撃の成功率には、TLDごとに差異があり 地域差や言語の独立性などがかかわっている可能性が示された。 結果