APOPの話。MD5を使っていることに起因した脆弱性を利用した実証実験。

当面の対策としては、従来からいわれている「パスワードを定期的に変更すること」、「メールソフト側で、APOP の規約に従ったチェックを行うこと」の2 点を行う必要があることがわかりました。特に、パスワードの変更周期については、使用しているパスワードやサーバーへの接続頻度によりますが、1か月〜2 か月毎の変更の必要性が判明しました。

「MD5 の安全性の限界に関する調査研究」に関する報告書：IPA 独立行政法人 情報処理推進機構

概要資料を読んだんだけど、41日くらいで解読されちゃうそうで。
これだけ読んでても具体的な攻撃方法がわからない。ちょっと考えるとMD5の衝突可能性を突いてもパスワードが解読されるという話にならないけど、そのことについても報告書には載っています。勉強になるぞコレは。
ふむふむ、攻撃にはクライアントのアクセスを本当のサーバと攻撃用サーバに振り分ける構成が必要なのね。ここは一つのハードルになるのかな？
報告書は後でゆっくり読むこととして、結論としてパスワードの変更が有効だというのが出たのには驚いた。ソーシャルハッキング的な手口に対しては、同じバスワードを長く使い続けることが脆弱性になる(漏洩可能性が時間と共に高まる)けれども、システム的にも可能となると、個人の注意だけじゃどうにもなりませんね。
でも、この解読に要する期間ってのも平均値であって、運が悪ければ一瞬で破れるんだよね？だとしたら、脆弱性のあるプロトコルを使うこと自体が危険であり、パスワード変更してもダメな気がする…
でもこんな脆弱性にあわてる以前に、みんなPOP3で垂れ流し、な気がしなくもないｗｗ