“Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 – ITmedia ニュース”という記事を何気なく開いて読みました。それによると、
流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。
とのことで…。あれ? なんでわかったんだろう、と思いつつ先に読み進めていくと、
集計できた理由としてSCGのジェレミ・ゴスニー最高経営責任者(CEO)は、「Adobeがハッシュよりも対称鍵暗号を選び、ECBモードを選択し、全てのパスワードに同じ鍵を使っていたことや、ユーザーが平文で保存していたパスワード推測のヒントがあったおかげ」だと説明している。
なんてことが書いてあります。総合してざっくり言うと、「暗号化されている情報?あれは復号できたよ?」っていう話のようです。暗号キーが固定であり、絶対使っているであろうパスワードから逆算して暗号キーを割り出したのだろうと思われます。つまり、悪意を持った第三者も同じことができる可能性があるということです。
さて、その使われていたパスワードのトップ10を引用します:
順位 パスワード内容 利用者数 1 123456 約190万人 2 123456789 約44万6000人 3 password 約34万6000人 4 adobe123 約21万人 5 12345678 約20万人 6 qwerty 約13万人 7 1234567 約12万4000人 8 111111 約11万4000人 9 photoshop 約8万3000人 10 123123 約8万3000人
ううーむ。類推しやすいものを使用している方、結構いらっしゃるんですね。
今回の流出情報からパスワードを復号できているようですから、よそでもAdobe IDと同じパスワードを使用している人は、必ずすべてのパスワードの変更が必要です。
関連記事
- Adobeから流出したAdobe IDの総数は3800万件
- 米国Adobe SystemsからAdobe IDについてのメールが来ました
- Adobeがサイバー攻撃を受けて290万件のユーザー情報などを漏えい
- 「暗号化」の対語が「復号化」ではない理由
2013年11月13日追記
「Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか – 徳丸浩の日記」によると、復号のための共通カギが逆算されたのではなく、平文で保存されていたヒントから類推可能なパスワードから導き出された暗号データを元に分析したとのことです。