何気ない記録

なんとなく自分の意見を書き記すときにつかいます。つまり不定期更新です。

前提条件を正しく設定し共有しないとなぜ無意味な議論になるのか

 

「バレバレじゃん」総当たり攻撃時のパスワード最大解読時間を表で示してみた「桁数を増やすことに意味がある」 - Togetter

ブルートフォースアタックが成立する条件はそこまで容易ではないのでそうはならんやろというのが現実。但し対象サービスやプロダクトでそれを許容する状況下にあるのであれば当然そのとおりのリスクとなる。その程度

この話。

元の話題ではちゃんと前提条件が明示されて議論されているので、なぜこのような結果となるのかも読み手が理解できている(でききていない人も当然いるが…)。

一方で、まとめ主はただアクセス数を稼ぎたいだけなので肝心な部分、つまり前提条件を明示せずただ「短いパスワードは危険」というメッセージだけを強調している。

 

一見すると「どんな状況であろうが多くの文字種と文字数を使えばいいだけで、それに何の不満があるのか?」となりがちだ。

実際以下のようなコメントもついている。

 

なんとも言えないとか言ってる奴なんなんだ?桁数と文字種を増やすとこんなに変わりますよってのが分かればよくない? - akiraki のブックマーク / はてなブックマーク

そう単純な話でもないかと。文字種や文字数を増やすという事はそれの管理方法についても一考が必要で、そうなった場合、本来異なるパスワードを付ける事が必要な局面でも同一パスワードが使われるなど弊害がでるのよ

 

確かにそれはそうなんだけど、それだけにセキュリティはとどまらない。

 

まず、大前提としてローカル化での暗号やハッシュ解析の影響に対して、個人の努力はそれ程寄与しない。

というのも、極論言えばハッシュ化されたデータが攻撃者の手元にわたっている状況を想定する場合、例えばSALTの漏洩はあったのか、なかったのか、アルゴリズムの選択について情報を与えているのかどうか、パスワード情報は単体で漏洩しているのか、それともその他の個人情報と同時に漏洩しているのかという話により攻撃者は解析手法を変える。

 

具体的に言えば、現代の攻撃者はそもそも単純な総当たりにより解析は行わない。

既にダークウェブ上では解析済みの個人に紐づくハッシュデータ等が出回っており、同一パスワードを使いまわしているユーザがいる限り、特定サイトに対しての攻撃の難度は変化するわけで、そういった複合的な状況、つまり個人の努力以前にそういった複合的な状況な努力の結果の方が実は地味に解析/防御という点では影響を及ぼす。

 

これに対して唯一有効な手段としては、最低限複数サイトで同一パスワードを使わないという事のみで、それ以外には方法がない。

 

で、これがまたジレンマで、同一パスワードを複数サイトで使いまわさないという選択は、同時にそれらをどうやって管理するのか、という問題を生み出す。

これに対して、単純に「パスワード管理ツールを使えばいいじゃないか」という話があるが、当然それを選択しない人もいるし、そもそも法人アカウント等の場合、単純にそういったツールを必ずしも許可していない場合もあり、結局、パスワードの単純な複雑化は運用面の負担となり、結果として脆弱性を生み出すリスクともなりえる。

 

例えば、誤解により有害な情報となりえる話として以下の発言者の理解も同様だ。

 これも完全な誤解で、確かに銀行のATMで利用するパスワードである数字4桁は一瞬で解析されてしまう事となるが、私の元コメント通り、その条件が満たされる事は基本的には存在しない。

ATMでは数回の間違いにより口座に対する操作は一時的に凍結されるため、総当たり攻撃を実行する事はできないし、逆に攻撃を行っている事がわかる事となる。

そこに危険性はない。

一方で、単純にこれを「これは危険だ!よしより複雑なパスワードを求めるようにするべきだ!」とした場合、ATMの前で複雑なパスワードを入力する為の手段により、別なリスクが顕在化する事となる。

 

このように、正しい前提条件を共有しない問題提起は非常に危険で、状況によっては有害でしかない。

 

発信主はその前提条件を理解しているのだろうが、受け手がその全てを理解できているわけではない。

 

で、私がこの発言を問題とする一つとして、この発言主はセキュリティに関わる人間であるという事だ。

 

つまり、こういった発言によりセキュリティ上の別なリスクを誘発する事を理解している人間であり、それがわからないというのであれば、逆にもう少し学んでから発言すべきだと思う。

 

 

無知な人間が無知な故に誤った形で情報を発信してしまう事と、知識のある人間が自らの不手際で誤った形で情報を発信してしまう事は全く異なった次元であり、そもそもこの発言者は、第三者からそういった指摘があっても何らそれに対して適切な対応をしていない。

 

今後の対応次第では比較的悪質な行為の一つだと私は思うし、そういった行動をとるセキュリティ関係者や関係企業を私は信用しない。

 

<追記>

呑気に宣伝ぶら下げている暇があるなら、まずは前提条件や発信の意図について説明するのが先であって「バズったうぇーい」なんてことを言っている場合なのか?

私には彼の認識とその対応の順序が全く理解できない。

それでセキュリティ関連の実務に携わるとか、ちょっとそれ自体がリスクでしかないのだが。