[論文レビュー] On the Economics of Offline Password Cracking
この論文は、侵害後に合理的な攻撃者がどれだけのパスワードを解読するかを予測する offline パスワード解読の経済モデルを構築し、Zipf分布に従うパスワード選択を分析し、オフライン攻撃を緩和するためにメモリ硬化ハッシュを提唱します。
We develop an economic model of an offline password cracker which allows us to make quantitative predictions about the fraction of accounts that a rational password attacker would crack in the event of an authentication server breach. We apply our economic model to analyze recent massive password breaches at Yahoo!, Dropbox, LastPass and AshleyMadison. All four organizations were using key-stretching to protect user passwords. In fact, LastPass' use of PBKDF2-SHA256 with $10^5$ hash iterations exceeds 2017 NIST minimum recommendation by an order of magnitude. Nevertheless, our analysis paints a bleak picture: the adopted key-stretching levels provide insufficient protection for user passwords. In particular, we present strong evidence that most user passwords follow a Zipf's law distribution, and characterize the behavior of a rational attacker when user passwords are selected from a Zipf's law distribution. We show that there is a finite threshold which depends on the Zipf's law parameters that characterizes the behavior of a rational attacker -- if the value of a cracked password (normalized by the cost of computing the password hash function) exceeds this threshold then the adversary's optimal strategy is always to continue attacking until each user password has been cracked. In all cases (Yahoo!, Dropbox, LastPass and AshleyMadison) we find that the value of a cracked password almost certainly exceeds this threshold meaning that a rational attacker would crack all passwords that are selected from the Zipf's law distribution (i.e., most user passwords). This prediction holds even if we incorporate an aggressive model of diminishing returns for the attacker (e.g., the total value of $500$ million cracked passwords is less than $100$ times the total value of $5$ million passwords). See paper for full abstract.
研究の動機と目的
- offline パスワード攻撃の経済的枠組みを用いて被害を定量化する。
- 共通のハッシュ関数(例:BCRYPT、PBKDF2)が Zipf類似分布の下でパスワードを十分に保護しているかを検証する。
- メモリ硬化関数(MHF)が攻撃者の動機と結果をどう変えるかを評価する。
- モデルを検証するために実データ(Yahoo!、Dropbox、LastPass、Ashley Madison)を分析する。
- 定量的所見に基づいてパスワードハッシュ化基準とポリシーを提案する。
提案手法
- 合理的な offline 攻撃者を Stackelberg 式の意思決定論的モデルとして開発する。パラメータは v(解読されたパスワードあたりの価値)、k(ハッシュあたりのコスト)、a(限界収益の低下)。
- 攻撃者を top-t のパスワードを推測する閾値 t を選ぶと仮定し、期待コスト C(t) と報酬 R(t) を計算する。
- パスワード分布は Zipf の法則に従うと仮定する(p_i = z / i^s)または CDF-Zipf(λ_t = y·t^r))。
- 攻撃者の最適閾値 t* とそれに対応する解読率 λ_{t*} を導く条件を導出する。
- 非メモリ硬化ハッシュ vs メモリ硬化ハッシュを比較する際に、MHFs の場合 k = τ·CH + τ^2·C_mem、BCRYPT/PBKDF2 の場合は k = τ を用いて、AT-cost を組み込む。
- モデルを Yahoo!、Dropbox、LastPass、Ashley Madison の breach データに適用して保護レベルを評価し、予想される解読割合を計算する。
実験結果
リサーチクエスチョン
- RQ1Zipf/CDF-Zipf 分布の下で、合理的な攻撃者は breach 後にどの程度のユーザーパスワードを解読するのか?
- RQ2メモリ硬化と非メモリ硬化のパスワードハッシュ選択が、攻撃者の動機と全体の解読率にどう影響するのか?
- RQ3実世界の breach(Yahoo!、Dropbox、LastPass、Ashley Madison)は、既存の保護(BCRYPT/PBKDF2)が Zipf 的分布下で不十分であることを示唆しているのか?
- RQ4モデルに依存しない解答域はどの程度で、Zipf ベースの予測とどう比較されるのか?
- RQ5メモリ硬化関数は解読されたパスワードの割合を臨界値未満に減らすことができ、認証遅延を許容範囲内に保てるのか?
主な発見
- Zipf の法則は Yahoo! のパスワード頻度に強い適合を示し、Yahoo! のデータ(N=70 million)は CDF-Zipf パラメータ y および r によって良くモデル化される。
- 閾値 T(y,r,a) が存在し、最初に解読されたパスワードの価値 v ≥ T·k の場合、Zipf様分布下での攻撃者の最適戦略はすべてのパスワードを解読するまで継続すること。
- Yahoo!、Dropbox、LastPass、Ashley Madison では、解読されたパスワード1件あたりの価値が通常閾値を上回るため、合理的な攻撃者は Zipf様分布から drawn されたすべてのパスワードを解読すると推定される。
- メモリ硬化関数(SCRYPT や Argon2id)のような手法は推測コストを大幅に上昇させ、合理的な攻撃者は多くのパスワードが解読される前に試行を断念する。
- モデルベースの下限は、MHFs の利用を増やすと解読パスワードの割合を実質的に減少させ、認証遅延を1秒丸ごとに押し上げることなく22.2%以下に抑えられる可能性があることを示す。
- この分析は BCRYPT/PBKDF2 保護の十分性を疑問視し、メモリ硬化ハッシュの要件を標準化に取り入れ、可能な場合は安全な分散パスワードハッシュプロトコルを提案する。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。