アメーバのパスワードは解読されるか

アメーバのログインパスワードについて、調査の結果、暗号化通信(SSL)は使われず、パスワード自体をMD5という方式でハッシュ化して送信していることが分かりました。
今までWebTasterで覗き見してきたほとんどのパスワードは、SSLという暗号化通信の中を、そのままの形で送信されていました。

※通常はSSLのデータの中身を見ることはできませんが、WebTasterでは、SSLに暗号化される直前にフックしていますので、SSL暗号の中のデータを見たり、変更/改竄することができます。


それでは、

  1. SSLを使って、中身はそのままのパスワードを送信する方式
  2. アメーバのように暗号化されていない通信の中を、暗号化したパスワードを流す方式

この2つは、セキュリティ面からみてどう違うのでしょうか。

悪意のあるハッカーが、通信を盗聴していたとします。
その場合、SSLとそうでない場合に盗聴できるデータはこのようになっています。

ameba_login443.JPG

SSLの場合は、いったい中身が何なのか、パスワードが含まれているかどうかすら全くわかりません。


ameba_login80.JPG

これに対して、アメーバ方式の場合には、明らかにIDとパスワードが含まれていることを見てとれます。パスワードはMD5によりハッシュ化(暗号化)されているので、元のパスワードが何だったかは分かりませんが、

password=25d55ad283aa400af464c76d713c07ad

これがパスワードであることは明白で、これを解析するという次のフェーズに移行することができます。

実際に、「john the ripper」というパスワード解析ソフトにかけてみると、一瞬のうちに解析され、この元のパスワードが12345678だと判明しました。

 

john_ameba.JPG

セキュリティ面から見たときに、SSLの方が断然安全であることが分かります。
SSLでない通信の場合は、安易なパスワードをつけていると、パスワードを盗まれてしまいます。