スイスの研究者グループがほとんどのWindowsのパスワードを,これまでより1分から30秒短い約13秒で解読する技法を開発した。この技法はWindowsにおいてMicrosoftがパスワードを暗号化する方法が本質的に弱く,総当たり方法を使うクラッキング・プログラムに弱いことを示す点でセキュリティ・コミュニティの関心を呼んでいる。
研究者グループの1人Philippe Oechslin氏は,最近「Making a Faster Cryptanalytic Time-Memory Trade-Off」という論文をインターネット上に公開した。この中のハイライトはパスワードを解読する新しい技法である。「cryptanalytic time-memory trade-off」という技法は1980年に最初開発された技術に基づいているという。
「例としてわれわれは,MS-Windowsのパスワード・ハッシュに対する攻撃を実装した。2つのCD-ROMに入った1.4Gバイトのデータを使うと,われわれは英数字からなるパスワード・ハッシュの99.9%を13.6秒で破ることができた。一方,distinguished pointsという現行のアプローチでは101秒かかった。性能向上の度合いは利用するパラメータにかなり高く依存している」と研究者は書いている。
奇妙なことに,研究者はWindowsのパスワードを破ることにはあまり興味がなく,前述の理論をデモンストレーションしようとしている。彼らは,暗号化の際にランダムな情報を取り込んでいないのでMicrosoftのパスワードが弱いとしている。つまり,同じパスワードを暗号化すると,マシンが異なっても同じになるのである。これによってパスワードを破ることが容易になっているという。
もちろん,英数字以外の文字や特殊文字を使うことでパスワードをより安全にすることは可能になる。しかし,これでもWindows固有の問題は解決されない。時間をかけたり,より大きなデータセット(あるいはその両方)を使ったりすれば,そうしたパスワードを破ることができるという。
