2017におけるMD5 Preimageの脆弱性

MD5はパスワードの使用に関して完全に危険にさらされていると見なされるべきであり、長い間パスワードに対して「非推奨」でした。プリイメージ攻撃や明示的な脆弱性を含める必要もありません。 MD5に対する最新のGPUスタックのハッシュレートが非常に速いため、ほぼすべてのパスワードをブルートフォースで実行できるという事実と同じくらい簡単です（そうです、私は少し誇張しています）

これは極端な設定です ですが、1秒あたり約2,000億のハッシュを実行できます。つまり、MD5としてハッシュすると、毎秒約2,000億のパスワードを推測できることになります。正確な翻訳はありませんが、ご想像のとおり、毎秒2,000億のパスワード推測を試すことができるということは、強力なパスワードでも簡単に解読される可能性があることを意味します。この記事は、14文字のウィンドウXPパスワード（これは少し弱いですが、MD5の場合のハッシュレートの約2倍です）をわずか7分でクラックできることを示唆しています。

より現実的なハッシュ設定では、パスワードをその約10分の1の割合でハッシュする可能性がありますが、MD5でハッシュされた現実的なパスワードをブルートフォースにすることも可能です。

質問の後半に対応するように編集します

これは差し迫った脅威ですか？はいといいえ。この内部システムが侵害された場合にのみパスワードが脆弱になるため、実際にはこれは理論的な脅威です。ただし、犯罪者が何かを求めたときに通過する非常に複雑な種類のハッキングについて読むほど、システムのすべてのレベルでセキュリティを徹底することがいかに重要であるかを理解できます。私は個人的に、内部システムは外部システムと同じくらい安全であるべきだと信じています。これは、セキュリティが悪いために高額の違反が発生する好例です。

https://gizmodo.com/hackers-found-a-new-way-to-rip-off-atms-1818859798

さらに、もう1つの問題は、MD5が長い間パスワードの保存に「時代遅れ」であったことです。私はvery彼らのセキュリティの残りが同様に時代遅れであり、あなたのこの内部システムがセキュリティホールでいっぱいであることを心配しています。

別の編集

心に留めておくべき重要な考え：これらの事柄に関して重要な考慮事項は、違反の際に行われる潜在的な損害です。この内部システムの機能はわかりませんが、確実に保存される重要な情報が1つあります。それはユーザーのパスワードです。それがすべて格納されているとしても、それは潜在的に危険です。これは非常にもっともらしい最悪のシナリオです。この内部システムにユーザーアカウントを持つ管理者がいる確率はどのくらいですか？もしそうなら、その人が社内システムに、たとえば会社全体の電子メールシステムを管理するためにパスワードと同じパスワードを使用した確率はどのくらいですか？もしそうなら、それはショートホップであり、スキップして、MD5パスワードの解読から電子メールシステムの制御まで、そしてそこからおそらくWebに接続している会社のあらゆる側面にジャンプします。

内部システムの管理者と協力して問題を解決しようとする場合、この思考プロセスを自分で考え、適切な措置を講じることができます。彼らは引き起こすことができますか？」 1つの電子メールアカウントのセキュリティに依存しているシステム全体と、2FAのないシステムが効果的に存在する企業がいくつあるかは、驚くでしょう。それがあなたの会社に当てはまる場合は、このサードパーティベンダーの発言に関係なく、修正する必要があります。そうでなければ、最悪のシナリオは非常に悪く、この内部システムは悪意のある攻撃者があなたの会社をだますことができるかもしれない多くの方法のうちの1つにすぎません。