Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
国や地域によるパスワード特性の差異分析
Search
Shodai Kurasaki
March 04, 2022
3
810
国や地域によるパスワード特性の差異分析
2022年3月に情報処理学会第84回全国大会で発表した論文の発表スライドです。
Shodai Kurasaki
March 04, 2022
Tweet
Share
More Decks by Shodai Kurasaki
See All by Shodai Kurasaki
辞書攻撃における国や地域のパスワード特性分析
shodaikurasaki
0
190
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
43
13k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Music & Morning Musume
bryan
46
6.2k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Into the Great Unknown - MozCon
thekraken
32
1.5k
Writing Fast Ruby
sferik
627
61k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
17k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
The Language of Interfaces
destraynor
154
24k
Transcript
国や地域による パスワード特性の差異分析 Analysis of Differences in User Password Characteristics by
Countries 2022/03/04 〇倉﨑 翔大、金岡 晃(東邦大)
1 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法
– 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
背景 2 パスワードの強度指標には 推測攻撃への耐性が適していることが示唆されている (Tanら@CCS2020)。 一方、ユーザが設定するパスワードの特徴が、 国ごとに違うことがいくつかの研究で知られている (森ら@IEICE Trans. On
Inf. & Sys.2020)。 より正確な推測攻撃耐性の計測には 国ごとに辞書の用意が必要 しかし、辞書の違いによる推測攻撃の成功率の差異が 細かく論じられていない
目的とアプローチ 国Aのパスワード群への推測攻撃に用いる辞書を 国A用のものにしたときと他国用のものにしたときの 差異がどのようになるか 3 パスワード推測攻撃の成功率の差異を国別に調べ その特徴を明らかにする 汎用性の高い辞書を持つ国はどこか 他国用の辞書による推測への耐性の強い国はどこか 1
2 3 アプローチ方法
4 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法
– 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
利用データ 5 • 過去の漏洩データを集約したと思われるもの • 平文パスワードだけでなく、 IDとなるメールアドレスとペアになったデータセット • 1,400,553,869ペア 2017年に発見されたパスワード漏洩データセット
利用データ 分割後、データ数が10万以上であった 64のTLDのデータを利用 各TLDのデータごとの頻出パスワード上位1万を そのTLDに特化した辞書とした 6 国別という明確なラベルがないので、 国の影響を色濃く受けると想定されるラベルとして メールアドレスのTLDを採用し、データセットを分割した
略語 7 • 自TLD辞書 – 推測攻撃の対象となるTLDの推測に特化した辞書 • 他TLD辞書 – 推測攻撃の対象となるTLD以外のあるTLDの推測に特化した辞書
• 自TLD推測 – 自TLD辞書による推測 • 他TLD推測 – 他TLD辞書による推測
評価方法 推測耐性評価 hashcat 8 辞書に掲載している単語をルールに基づいて 変更や切り取り、拡張などをすることで 網羅的かつ効率的な推測攻撃を行う攻撃モード 例:password→Password, password1 Rule-based
attackモードで攻撃 ルールには”best64.rules”を採用 Rule-based attackモード hashcatの開発元が変更ルールとして 最も効率が良いとした77行分のルールのセット best64.rules 利用ツール
推測耐性評価 9 各TLDに特化した辞書(自TLD辞書、他TLD辞 書)を使って 64個のTLDデータに対する推測成功率を 計64×64=4096パターンで計測 自TLD推測となる際は、交差検証で計測 評価方法
10 目次 1. 概要 – 背景 – 目的とアプローチ 2. 分析手法
– 利用データ – 推測耐性評価 3. 結果・考察 – 自TLD推測と他TLD推測の推測成功率の差 – 他TLD推測時に有効な辞書TLD – 他TLD推測に耐性のあるTLD 4. まとめ
11 自TLD推測と他TLD推測の成功率(評価 ) 1 自TLD推測の成功率 > 他TLD推測の成功率 平均値 21.9% 平均値
11.3%
12 自TLD推測の成功率が低いTLDが上位から タイ・フィンランド・ベルギー・スイス・台湾・ EU・トルコ・マレーシア・韓国・日本 となっており、 欧州でも北寄りの国家とアジアの国家のccTLDが多い best64は英語圏パスワード向け? 辞書掲載単語の変更ルールも 国や地域ごとに適したものがある可能性 自TLD推測と他TLD推測の成功率(評価
) 1 考察
他TLD推測時に有効な辞書TLD(評価 ) 上位(汎用性が高い) 下位(汎用性が低い) ca(カナダ) 9 cn(中国) 15 com 9
kr(韓国) 12 net 9 tr(トルコ) 10 org 9 th(タイ) 9 edu 6 vn(ベトナム) 7 13 2 他TLD推測時に推測成功率が高かった辞書のTLDが 辞書TLDとして汎用性の高いTLDと判断し、 4032の組み合わせに対して、各辞書TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、辞書TLDとして頻出するTLD
他TLD推測時に有効な辞書TLD(評価 ) 14 2 汎用性が高いTLDは、gTLDと英語圏のccTLDとなった。 一方、汎用性が低いTLDは、中国・韓国・トルコ・タイ・ベトナム といったアジア諸国のccTLDが上位を占めた。 汎用性が高いTLDがgTLDと英語圏のccTLDとなっているのは、 英語圏のTLD数が多いことが原因と考えられる。 汎用性が低いTLDがアジア諸国のccTLDに占められているのは、
非英語圏であることや、ccTLDや言語自体の独立性が高いことが 原因と考えられる。 考察 結果
他TLD推測に耐性のあるTLD(評価 ) 上位(推測耐性が高い) 下位(推測耐性が低い) fi(フィンランド) 32 au(オーストラリア) 13 be(ベルギー) 14
us(アメリカ) 12 nl(オランダ) 12 vn(ベトナム) 12 hu(ハンガリー) 7 ca(カナダ) 9 eu 6 nz(ニュージーランド) 7 15 3 他TLD推測時に推測成功率が低く済んだ攻撃対象のTLDが 推測耐性の高いTLDと判断し、 4032の組み合わせに対して、攻撃対象TLDが 推測成功率上位100位に入る頻度と下位100位に入る頻度を求め、 それぞれ頻度の高かった5つを表に記した。 推測成功率が上位または下位100位の入る組み合わせのうち、攻撃対象TLDとして頻出するTLD
他TLD推測に耐性のあるTLD(評価 ) 16 推測耐性が低いTLDの多くは英語圏のTLDであったが、 表にあるベトナム(vn)に加え、オマーン(om)や アイルランド(ie)といった非英語圏のccTLDも含まれた。 3 推測耐性が低い非英語圏TLDは、ドメイン利用がその国のみならず 汎用TLDのように世界に開放されていることから ドメインが英語圏ユーザーの多いサービスで採用され、
パスワード集団として英語圏の性質が強い可能性が考えられる。 考察 結果
まとめ 17 パスワード強度評価の結果が、 パスワードの強度を 正しく示せていない可能性が明らかになった。 パスワード推測攻撃の成功率の差異を国別に調べ その特徴を明らかにする。 目的 国別データの代わりにTLD別データを用い、 64のTLDに関して推測耐性評価を行った。
アプローチ 推測攻撃の成功率には、TLDごとに差異があり 地域差や言語の独立性などがかかわっている可能性が示された。 結果