カラクリスタ

「輝かしい青春」なんて失かった人のブログ

Lastpassの不正アクセスに関連して

追記:2011-05-06T20:13:28+09:00

ついさっきだけど、計算式が間違ってる事に気が付きました><;

正しい計算式は、

11 ^ ( 10 + 26 )

じゃなくて、

( 10 + 26 ) ^ 11

だった><

で、この計算をすると、僕が LastPass不正アクセス事件の前に使ってたパスワードの通りは、

( 10 +  26 ) ^ 11 = 1.31621704 * 10 ^ 17通り

で、 命数法 - Wikipedia によれば、

10 ^ 17 は十京通りらしいので、もし最初に書いたランク F のマシンでパスワード解析すると、

36 ^ 11 / 10 ^ 9 / ( 60 * 60 * 24 ) / 365 = 4.17369685 年

ぐらいで解析できちゃうっぽいです><

が、ランク F のマシンなんて研究機関ぐらいしか持っていないだろうと思われるので、

あなたのパスワードは何分で突破されるか?-パスワードチェッカー他 | 8 倍速対応

に書いてあるランク E か D だと、その十倍から百倍の時間がかかるっぽいです。まあ 40 年〜400 年ぐらいですかね。

まあ正直計算しなおしたら不安になってきたので、 とりあえずお金が絡むところ辺のパスワードは、変更しておきたいと思います。

ということで、下記はおもいっくそ間違ってます><


僕はだいぶ前から Lastpass を使ってたんだけど、 このたびなんか データベースに不正アクセスされたかも という事件が起きた。

で、色々情報収集していたときに、Lastpass の中の人が、

辞書ベースの弱いパスワード使ってた人は、 登録していたパスワードの内、致命的影響がある奴は変えておくべき

みたいな事を言ってて、こりゃ俺も全部のパスワード変更か?と思ったりしたんだけど、 そもそも俺のパスワードの強度はどれくらい?と思ったので、ちょっと計算してみた。

まず、俺は Sony個人情報流出事件の時に、LastPass のパスワードを、 11 桁の数字 + 小文字アルファベットで、辞書的部分を多少含むモノに変更していたんだけど、 これの組み合わせ数が、

11 ^ ( 10 + 26 ) = 3.09126805 * 10 ^ 37

というなんか途方もない組み合わせ数っぽい。

それで、パスワード 強度で検索して出てきた

あなたのパスワードは何分で突破されるか?-パスワードチェッカー他 | 8 倍速対応

というサイトで、パスワードを解析された場合の強度と、パスワード解析の速度について紹介されていたんだけど、 上記サイトにある、パスワード解析速度のランクが F のやつで、

F 10 億パターン/秒 スーパーコンピューターで突破する場合

というのを基準に、パスワードの総当りでいったいどれくらい時間が掛かるのか算出してみる。

まず、このランク F のパスワード解析速度は、

10 ^ 9 / sec

というスピード。で、この数字でさっきの組み合わせ数を割ると、

( 3.09126805 * 10 ^ 37 ) / ( 10 ^ 9 ) = 3.09126805 * 10 ^ 28秒

という、ちょっとわけわからん数字が出てくる。で、これを日数で割ると、

( 3.09126805 *10 ^ 28 ) / ( 60 * 60 * 24 ) = 3.57785654 * 10 ^ 23日

という数字になる。それでさらにこれを年 365 日換算で割ると、

( 3.57785654 * 10 ^ 23 ) / 365 = 9.80234669 * 10 ^ 20

となる。

この9.80234669 * 10 ^ 20はどれくらいかを桁の単位で見てみると、

  • 命数法 - Wikipedia に拠れば、 10 ^ 201 垓(がい) という単位らしい。で、これは、1 兆の 1 億倍という。

まあ、あれだ、1 兆の 1 億倍の ×9 倍ぐらいの年数がかかるっぽい。 ……ってことは、今の所、人間の技術じゃ解析できないってことでよろしいんだろうか?

まあこうやって計算してみると、とりあえず大丈夫そうな気がするけど、 やっぱりパスワードを Web Service に預けて管理するってのはリスクがあるなあと思う次第。 Lastpass の場合、SHA-256 で暗号化されてるらしいけど、それでもリスクはないわけじゃないなーと。 まあそれでも便利なんで、リスクと利便さ、どっちを取るかって問題っぽいですが。

まあとりあえず、僕の場合は、パスワードの強度を計算してとりあえず天文学的数字が出てきたので、 多分大丈夫だとは思いますが、ちょっと不安があるかなーって感じです。

まあ、とりあえず続報待ちです > Lastpass不正アクセス事件

FIXME