パスワード解析のコスト

新幹線の予約に、JR東海のエクスプレス予約を使っていますが、

エクスプレス予約を使うと のぞみ普通車指定席で、名古屋東京片道は9,830円です。

900円ほど安くすませることが出来ます。 

 

このエクスプレス予約ですが、会員ＩＤとパスワードを打ち込んで新幹線の予約をすることになりますが、 

会員ID … 10桁の半角数字

パスワード … 4～8文字 半角数字 

となっています（EX予約「パソコンでの登録」参照)。

 

先週、新幹線で移動中に、中田亨著「情報漏洩　９割はあたなのうっかりミス」 

という本に目を通していたところ、

力ずく攻撃（ブルート・フォース・アタック　brute-force attack）によってパスワード攻略をしたとして、

その想定コストがいくらになるかが掲載されていました。

その想定コストですが、 

４文字だと　数字、アルファベット、記号のどんな組み合わせだろうと 1円未満、

8文字でも、数字だけだと1円未満で、 数字とアルファベット小文字の組み合わせでも 約100円、

というもので、文字数が少ない場合だと、驚くほど低額な結果です。　 

 

 

(上表は、本が引用している独立行政法人情報推進機構技術本部セキュリティーセンター「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル解説編」19頁のオリジナルデータを引用したもの。) 

 

先ほどのエクスプレス予約の場合のパスワード解析の場合ですと、

数字10桁の会員ＩＤと、数字4～8桁のパスワードの計14～18桁の数字を解読すればよいことになります。

もし、パスワードが6桁であれば、16文字の数字並びを解読すればよいことになりますので、上の表から、

約35万円

ということになります。

解読のために35万円のコストが掛かるセキュリティだとして、それって脆弱なのでしょうか、それとも、そこそこ強力と言うのでしょうか。

 

ところで、会員IDの10桁の数字は、JR東海の方が勝手に振ってきたものです。

10桁の数字は、おそらく アルゴリズムに従って、数字が割り振られるのでしょう。

ですから、そのアルゴリズムが解析されてしまえば、

せいぜい数字8桁のパスワードによる防御ということになります。

でも、その防御ですが、1円未満の解析のコストの守りです。

 

こう言うのって、脆弱性が高いと言うのでしょうか。 

 

情報漏洩 9割はあなたのうっかりミス―今日からはじめる防衛術

• 作者: 中田 亨
• 出版社/メーカー: 日本経済新聞出版社
• 発売日: 2013/09/21
• メディア: 単行本（ソフトカバー）