iPadやiPhoneでインターネット共有を設定する際、iOSにパスワードを自動生成させるオプションがあります。しかし、研究者たちは、自動生成されたパスワードにあまり安心しすぎるべきではないと警告しています。スクラブルの単語リストを使って、1分もかからずにパスワードを解読できたのです。
マックルーマーズ:
ドイツのエアランゲン大学の研究者ら(ZDNeT経由)によると、キーの生成方法(短い英語の単語と乱数の組み合わせ)は予測可能で、研究者らは1分以内にホットスポットのパスワードを解読できるという。
研究者たちは論文の中で、ホットスポット保護の弱点を見つけるために用いたプロセスについて述べています。Appleが使用する単語リストには約52,500のエントリが含まれています。当初、パスワードの解読には約50分かかりました。研究者たちはAMD Radeon HD 6990 GPUを使用して、単語と数字の組み合わせを解析しました。
「このリストは約52,500のエントリで構成されており、オープンソースのスクラブルクロスワードゲームから作成されました。この非公式のスクラブル単語リストをオフライン辞書攻撃に利用することで、iOSホットスポットの任意のデフォルトパスワードを100%の確率で解読することができました」と研究者らは記しています。
その後、チームは、実際には大きな単語リストの小さなサブセットしか使用されていないことを発見し、4 つの AMD Radeon HD 7970 の GPU クラスターを使用して、パスワードの解読時間を 50 秒という大幅に短縮しました。
さらにこの論文では、Apple のパスワード生成方法を批判し、パスワードはランダムな数字と文字で構成すべきだと提案している。
ZDNet は、Apple のパスワード生成システムには欠陥があるものの、Windows 8 フォンで 8 桁の数字からなるデフォルトのパスワードを使用している Microsoft などの他社のシステムよりは堅牢であると指摘している。
また、iOS ユーザーは、独自のパスワードを作成することを選択することにより、脆弱なホットスポット パスワードを回避できることにも注意してください。もちろん、セキュリティを強化するために、そのパスワードには前述のランダムな数字と文字のシーケンスを含める必要があります。
