なんとなくわかる「パスワードクラック」

SGの勉強をのんびりと進めています。

今日はパスワードクラックの勉強を触れてきました。

まず、パスワードクラックとは英語から推測できる通り、データを分析することで不正にパスワードを特定することです。

種類としては6つほど存在します。

スポンサーリンク

1、類推攻撃

これは個人情報(生年月日や名前など)を組み合わせてパスワードとして入力する方法です。

山田太郎(1990年生まれ)だとYamada1990や1990Taroなどをパスワードで登録しているとこの攻撃にはドンピシャで当てられてしまいます。

対策としては、自分から類推されないパスワードにすること

2、辞書攻撃

これは辞書にある単語を組み合わせてパスワードとして入力する方法です

好きな食べ物やアーティストなどをパスワードに入れているとこの攻撃で当てられる可能性が高くなります。

対策としては、ランダムな文字列にすることや単語のなかに違う文字を入れるなどする(例 word > wor44d)

3、ブルートフォース攻撃

ブルートフォース攻撃パスワードとしてありうるものすべてを入力する方法です。

パスワードでよく見るのが「英数字8文字以上、使用可能な記号は…」という形ですがこの攻撃ではこの場合だと8文字以上の英数字と使用可能な記号であらゆるパスワードパターンを生成してパスワードを特定しに行きます。

対策としては、回数制限を設けること

4、リバースブルートフォース攻撃

3とは逆でパスワードを1つに限定し、そのパスワードを使っているIDを特定するという攻撃です。これはめっちゃ頭のいいやり方だなとわたしは読みながら思いました。

パスワードは一定回数間違えるとロックがかかったり、認証方法が変わるというセキュリティの対策があるのですが、この方法だとパスワードを間違えるのはIDごとに1回ずつになるためこの対策には引っかからずに攻撃を続けることができます。

対策としては、パスワードを長くして英字と数字を組み合わせたものにすること

5、パスワードリスト攻撃

この攻撃は外のサイトのパスワードが流出したときにそのパスワードでログインを試みる方法です。ここ最近での例は以下である。

 三越伊勢丹は8月6日、ECサイト「三越伊勢丹オンラインストア」と同社傘下のクレジットカード事業者エムアイカードの会員合わせて約1万9000人が不正ログインの被害に遭い、会員情報を盗み見られた可能性があると発表した。

ITmedia NEWSより

ここから流出した情報が外のサイトでの攻撃に使われるということである

対策としては、サイトごとのパスワードを異なるものにすること。

6、レインボー攻撃

これはパスワードのハッシュ値からパスワードを推測する方法である。パスワードは一般的にパスワードをそのまま保存するのではなくハッシュ関数を用いてハッシュ値に変換して保存される。

例えば、パスワードが「12345」でハッシュ関数が「3足して2倍した後の下3桁」だとすると返還後のハッシュ値は「351」となりパスワードの推測が不可能にちかくなる。(ハッシュ関数は不可逆性をもちハッシュ値からパスワードを導けない)

この攻撃ではパスワードとハッシュ値の対応をデータベースとしてたくさん格納し、目的となるハッシュ値を見つける方法である。

対策としては、ハッシュ関数を2,3重にすること、ソルト(パスワードに文字列を追加してからハッシュ関数を行う)

これがパスワードクラックの手法となります。

パスワードをかける際はできる限り推測されない長い文章で、できれば多重認証を使っていきましょう!!

コメント

  1. […] 2つ目は辞書攻撃やブルートフォース攻撃などのパスワード推測による攻撃に強いことです。SAEハンドシェイクではパスワードの施行回数に制限を設けているため攻撃者によるパスワードの推測がしにくくなっています。 […]

  2. […] […]

  3. […] […]

  4. […] この攻撃を受けて不正入手されたIDやパスワードがパスワードリスト攻撃に利用され、他社に被害が及ぶ可能性があります。 […]

  5. […] パスワードを使いまわすことはユーザにとってはパスワードを簡単に管理、記憶することができるためメリットがありますがセキュリティの面ではかなりデメリットになります。パスワードを使いまわした場合に発生する可能性があるのがパスワードリスト攻撃という方法で、パスワードとIDが第三者にバレて悪用される危険性があります。 […]

  6. […] ウェブサービスは日々増加しており、ユーザが使用するIDとパスワードが多くなっているためユーザは覚えやすいパスワードや単純なパスワードに設定する可能性が高くなります。そのようなパスワードはパスワードクラックによる攻撃を受けやすくなり結果的に情報の漏洩につながってしまいます。 […]

タイトルとURLをコピーしました