「過去に用いた2つ以上のパスワードから、変更後のパスワードを推測する手法」が発表され話題に

　過去に利用された2つ以上のパスワードから、変更後のパスワードを推測する手法が発表され、注目を集めている。

　「Pass2Edit」と呼ばれるこの手法は、中国の複数の大学の研究者らによる論文で発表されたもの。ネット上に流出したパスワードの中から、同じメールアドレスに紐付けられている2つ以上のパスワードを抽出し、それらを比較することで、ユーザーがパスワードの変更に当たってどの部分をどのようなルールで加工しているかを機械学習で推測。これらをモデル化することにより、クラッキングの成功率は一般ユーザーで平均24.2％、セキュリティに精通したユーザーで11.7％と、高い割合を記録したという。この手法を用いれば、パスワードを入力させる偽サイトを用意してパスワードの入力を誤ったとユーザーに誤認させ、過去に使用したパスワードを2つ以上手に入れれば、その後パスワードを変更したとしても、クラッキングされてしまう可能性が高いことを意味する。研究者グループは「パスワードの微調整がセキュリティに対して予想以上の損害を与える脅威であることを浮き彫りにしています」と、パスワードを一定のルールにもとづいて変更しながら使い続ける行為に警鐘を鳴らしている。

• Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords（USENIX）
  https://www.usenix.org/conference/usenixsecurity23/presentation/wang-ding-pass2edit