研究者らは、アドビが10月のデータ流出で数百万件のパスワードが盗まれたことを確認したこと、そしてこれらのパスワードは当初、業界のベストプラクティスに従って保存されていなかったことを明らかにしました。パスワードは簡単に解読できる方法で暗号化されていました。
CSOが発表した声明の中で、アドビは、Ars Technicaが金曜日に公開した詳細情報の一部を確認し、10月に盗まれたパスワードはハッシュ化によって暗号化されておらず、単なる旧来の暗号化によってのみ暗号化されていたと述べました。
パスワードの保存と保護の観点から、一般的な最良の例は、設計されたパスワード保護アルゴリズムの使用であり、好ましいアルゴリズムは、bcrypt、scrypt、PBKDF2またはSHA-2です。パスワードを保護するためにこれらのタイプのアルゴリズムを使用する理由は、これらのタイプのアルゴリズムの展開により、パスワードを強制的にクラックすることはほとんど不可能な作業になります。これらのアルゴリズムがハッシュとソルティングに基づいて処理される場合、クラッキングの難易度はさらに高まります。実際、パスワードが適切にハッシュ化・暗号化されていない場合、どのような組織においても「機密データの漏洩」が発生する可能性があります。
アドビによると、認証システムをアップグレードし、顧客のパスワードを保護するためにSHA-256ソルティングを使用するようにしたとのこと。しかし、このアップグレードされたシステムはハッキングされたものではありません。
なぜなら、パスワードがどのように暗号化されているかに基づいて、ハッカーはキーを推測すればパスワードを復元することができるからです。しかし、3DESを直接攻撃することは容易ではありません。そのため、アドビの方法は、盗まれたパスワードのリストを解読しようとする者にとって障害となります。
このリストには1億3,000万件のAdobeアカウントが含まれており、リストのネガティブ検出の根拠は、いくつかの興味深いデータを反映しています。Stricture Consulting GroupのJeremi Gosney氏は、データのほんの一部に基づいて、一般的に使用されているパスワードの上位100件をまとめることができました。
「今回の情報漏えいの影響を受けたユーザーのうち、アドビがパスワードを暗号化した鍵をまだ持っていないユーザーは130,324,429人います。しかし、Adobeはハッシュに基づく共通鍵暗号化を選択したため、ECBモードが選択され、各パスワードに同じ鍵が使用されました。既知のプレーンテキストや、ユーザーがパスワードのヒントとして惜しみなく提供した情報が大量にあることと合わせると、これらの100人のアドビユーザーが使用した最も一般的なパスワードを要約することが容易になります。"
この「よく使われるパスワード100のリスト」から、約190万人のユーザーが「123456」をパスワードとして使用しており、44万人以上のユーザーが「123456789」をパスワードとして選択しています。と44万人以上のユーザーが「123456789」をパスワードとして選んでいます。次に「password」、「adobe123」、「12345678」。この5つのパスワードが最もよく使われています。
この事件でアカウントが流出した人々の多くは、非常にカジュアルなパスワードを使用していたため、Adobeアカウントは彼らにとって重要ではなかったことがわかります。しかし、人にはそれぞれ習慣があるため、同じパスワードを使い回すことで、これらの人々のメールアドレスが流出した可能性があります。
ウェブ上に出回っているAdobeの流出データの中に自分のメールアドレスが含まれているかどうかを確認したい場合は、ここにアクセスして確認することができます。メールアドレスが流出した場合は、できるだけ早くパスワードを変更し、Adobeの流出に関連する連絡先情報については長文になるようにしてください。
