パスワード強度解析
- 辞書解析では破れなかった391個のパスワードをjohn the ripper(1.7.2)のインクリメンタルモード(all)で半年間解析した結果
- Hash型はTraditional DES,SSE2有効,CPUはPentium-4(2.8GHz),コンパイラはIntelCコンパイラ9.1.038を使用.
- 1秒の解析数は徐々に上っていく傾向があるらしいが,847000パターン/秒ほど.
- インクリメンタルモードではパスワードの長さや固定された文字列の位置を変化させながら人間が良く使いそうなパスワードを推測していて,a,aa...から順番に試しているわけではない.1.7系の推測力は以前のバージョンより良くなった(?)
- 連続した数字を最初や最後に置くもの,一つ置きにするものなどが良く破られている.4桁の数字が多いのはキャッシュカードが4桁番号だから?
- 解析結果,X,xは子音の大文字,小文字,A,aは母音(aeiou)の大文字,小文字,#は記号,数字はそのまま
日:時:分:秒 | パスワード |
---|---|
0:12:36:53 | axxx53 |
1:00:59:44 | xx7255 |
1:18:53:11 | xaxaa06 |
2:04:27:55 | xxxx0a |
5:17:19:03 | 109axaxa |
6:03:17:57 | xxxxx2 |
7:02:12:44 | xaxaxx1 |
7:02:57:41 | axxaxx20 |
7:03:45:19 | axxx#xxx |
8:02:08:06 | XX2073 |
8:08:30:37 | xx3515 |
15:05:40:47 | XAX1274 |
15:08:17:59 | x0829x |
23:22:31:32 | XxXX97 |
31:18:58:31 | 0310xaxx |
31:21:30:28 | xxxxx0 |
32:16:11:51 | xaxaxax1 |
32:17:36:00 | xaxxax28 |
36:05:07:42 | xaxaxa28 |
39:17:08:29 | aax2axa |
43:07:42:30 | 357xxx |
43:14:30:45 | 3xaa11 |
46:02:04:35 | 1022xaxa |
57:10:02:16 | xxx4186 |
62:22:18:56 | 10xaxxax |
68:22:15:04 | x3x3x0 |
81:21:11:50 | xa24xa |
90:11:54:39 | 05xaxaxa |
97:21:08:46 | xaxaxax2 |
143:23:09:36 | XAA098 |
147:05:58:00 | axxa82 |
151:04:35:21 | xa0524 |
154:07:55:03 | xaxxax4a |
161:09:20:35 | 12xxxxxx |
184:21:49:36 | 45xxaxa |
202:16:00:30 | 930axaxa |
203:04:21:42 | xa05xx |
204:06:57:14 | xaxaxax1 |
208:08:36:36 | xxxxx24a |
210:06:58:59 | xax1xa |
229:17:52:58 | xaxax123 |
230:22:31:27 | Xaxx#7 |
239:17:17:37 | 9xaxaxa9 |
299:16:28:26 | 1206xaxa |
304:14:13:26 | x11a19x |
308:17:19:51 | xx955114 |
319:08:21:07 | xx628xx |
343:22:12:18 | X0xxxax |
348:03:34:45 | xaxaxxa0 |
385:06:51:01 | xxx30xx |
434:16:34:42 | xaxaxax1 |
500:23:47:09 | xxxx1432 |
- グラフ
- 集中して発見される時期と全く発見されない時期がある.発見されない時期は解析されているパスワードの長さが長くパターンを調べ尽すのに時間がかかっているらしい.
- グラフはN(1-exp(-ax))をいくつか積み重ねたような形になる?