なんとなくわかる「ブルートフォース攻撃」

スポンサーリンク

ブルートフォース攻撃とは

ブルートフォース攻撃(Brute-force attack)とは、パスワードクラックの手法の一つでパスワードとしてありうる全ての組み合わせを試してログインを試みる方法です。別名として総当たり攻撃とも呼ばれています。

例えば数字のみ4桁だと0000~9999の1万通りを試せばどれかしら当たってしまうように、全ての組み合わせをしらみ潰しに当てていけばいつかは当てることができます。ブルートフォース攻撃はそれを用いて第三者のアカウントへのアクセスを試みます。

ブルートフォース攻撃が成功してしまうとツイッターのようなユーザのアカウントにアクセスした場合はプロフィール欄のメールアドレスや住所などの個人情報が抜き取られたり、企業の管理者アカウントにアクセスした場合は会社を偽って他の企業に対してマルウェアを添付したファイルを送信したりシステムを利用してユーザ全員に嘘の情報を伝えたりなど大きな2次被害を及ぼす可能性があります。

ブルートフォース攻撃の性能

今回は海外のサイト(https://howsecureismypassword.net/)を使ってパスワードの解かれる時間について調べました

8文字の調査

英数字(小文字のみ)

入力解読時間
abcd1234瞬時に
qwert123瞬時に
j8y4ijgs1分

英数字

入力解読時間
ABCD12341分
QWERT1231分
QwErT1231時間
j8y4ijGS1時間

英数字+記号

入力解読時間
ABCD123!19分
QWER%12319分
j8y4i!GS8時間

10文字の調査

英数字(小文字のみ)

入力解読時間
abcde123451日
qwert123451日
j8y4ijgs3h1日

英数字

入力解読時間
ABCDE123451日
QWERT123451日
QwErT123457ヶ月
j8y4ijGS3H7ヶ月

英数字+記号

入力解読時間
ABCD#123!51ヶ月
QWER%1234%1ヶ月
j8y4i!GS#F5年

12文字の調査

英数字(小文字のみ)

入力解読時間
abcdef1234563年
qwert12345673年
j8y4ijgs3hdp3年

英数字

入力解読時間
ABCDEF1234563年
QWERT12345673年
QwErT1234567200年
j8y4ijGS3H0p200年

英数字+記号

入力解読時間
ABCD#123!5(9200年
QWER%1234%4a3400年
j8y4i!GS#FrY3400年

文字数や文字の種類によって解読時間は大きく異なることがこの結果からわかったかと思います。

ブルートフォース攻撃への対策

パスワードを強固なものにする

ブルートフォース攻撃の対策としてパスワードをより強固にする方法があります。強固にする手法としては2つあり、1つ目は文字数を多くすることで2つ目は文字の種類を多くすることです。

1つ目の文字数を多くすることは例えば現在数字のみ8文字のパスワードを使っていときに、1文字足すだけで10の8乗から10の9乗になりパスワードの強度としても大幅に高めることができます。

目安として、パスワードの桁数は12桁以上で設定するのがブルートフォース攻撃からの対策としては良いとされています。

パスワードの試行回数制限

ブルートフォース攻撃は同じIDでたくさんのパスワードを試すため、同じパスワードで何回も間違えた場合にアカウントをロックしたりメールアドレスにPINコードを送信して本人であることを確認するなどの仕組みを導入することで攻撃者のブルートフォース攻撃を防ぐことができます。

コメント

タイトルとURLをコピーしました