パスワード解析2
2019.11.16
前回ブログに引き続き、パスワード解析についてお話したいと思います。
~ パスワードを解析する方法 ~
前回、パスワードは長く・複雑なものをつければ解析されにくいと説明しました。
この説明で想定した解析方法は総当たり攻撃(ブルートフォースアタック)と言われる方法で、すべてのパターンを1つずつ試行する方法での解析時間です。この解析方法が最も時間の係る解析方法ですが、簡単なパスワードであれば、ほんの数秒で突破できるのは、説明したとおりです。この他にも、パスワードの解析方法は様々なものがあります。
①辞書攻撃(ディクショナリアタック)
パスワードを解析する方法のうち、もっとも使用頻度が高いのが、このディクショナリアタックです。辞書に載ってる単語をそのまま使用したり、一部を変換させただけのようなパスワードは、この攻撃ですぐに解析することができます。例えば「P@ssW0rd」というパスワードを設定したとします。英大文字小文字数字記号が全部含まれており、桁数も8桁なので総当たり攻撃だと数百年かかる強度がありますが、「Password」という単語を有している辞書攻撃であれば、施行する対象は一気に下がりますので、結果として簡単に解析することができるのです。
パスワードを解析する方法のうち、もっとも使用頻度が高いのが、このディクショナリアタックです。辞書に載ってる単語をそのまま使用したり、一部を変換させただけのようなパスワードは、この攻撃ですぐに解析することができます。例えば「P@ssW0rd」というパスワードを設定したとします。英大文字小文字数字記号が全部含まれており、桁数も8桁なので総当たり攻撃だと数百年かかる強度がありますが、「Password」という単語を有している辞書攻撃であれば、施行する対象は一気に下がりますので、結果として簡単に解析することができるのです。
②リスト攻撃
最近ではどのサービスを使用するにもパスワードの設定を要求されるため、同じパスワ ードを使いまわしているユーザが非常に多いのが実態です。そのため、とあるサービスでパスワードが漏洩すると、そのパスワードをリストとして販売している業者が存在します。そのリストを購入してパスワードを解析するのがリスト攻撃と言われる手法です。
この攻撃は、最近、ハッカーの間で主流になりつつあるパスワードの解析方法で、LINEやSNSだけでなく、様々なサービスがリスト攻撃を受けています。
③ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人を介したパスワードの解析方法で、例えば、何らかの手段でパスワードを聞き出そうとしたり、パスワードを盗み見してパスワードを解析する方法となります。他にも、パスワードそのものではなく、誕生日や電話番号などをパスワードに使用している人も多いことから、それらの情報を聞き出してパスワードを解析するのも、この解析方法に含まれます。
総当たり攻撃や辞書攻撃、リスト攻撃を、自身でプログラムを組んで実行するのは、非常に敷居の高い解析方法ですが、ソーシャルエンジニアリングに関しては、誰でも容易に行うことができます。パートナーのLINEパスワードなどを解析するためには、まずはソーシャルエンジニアリングから初めて見るといいのかもしれません。ただし、不正アクセス禁止法に抵触することはご理解ください。
ソーシャルエンジニアリングとは、人を介したパスワードの解析方法で、例えば、何らかの手段でパスワードを聞き出そうとしたり、パスワードを盗み見してパスワードを解析する方法となります。他にも、パスワードそのものではなく、誕生日や電話番号などをパスワードに使用している人も多いことから、それらの情報を聞き出してパスワードを解析するのも、この解析方法に含まれます。
総当たり攻撃や辞書攻撃、リスト攻撃を、自身でプログラムを組んで実行するのは、非常に敷居の高い解析方法ですが、ソーシャルエンジニアリングに関しては、誰でも容易に行うことができます。パートナーのLINEパスワードなどを解析するためには、まずはソーシャルエンジニアリングから初めて見るといいのかもしれません。ただし、不正アクセス禁止法に抵触することはご理解ください。
総合探偵社KAY