パスワードクラックの方法

推測によるパスワードクラック

よく使われるパスワードを推測して試す攻撃
ユーザIDと連番、日付を組合せるなど
「admin01」「system19990229」

辞書攻撃

一般的な辞書に乗っている英単語からパスワードに使われそうな単語を試していく攻撃
これを行うツールが簡単にダウンロードできるらしい。

ブルートフォース攻撃

総当りでパスワードを試していく攻撃。総当り攻撃ともいう。
a, b, c ... aa, ab, ac ... zzzzzといった感じ。

リバースブルートフォース攻撃

ブルートフォース攻撃とは逆でパスワードは固定で、ユーザIDを総当りで試す攻撃
admin/admin01, administrator/admin01, sysmgr/admin01 といった感じ

レインボーテーブル攻撃

レインボーテーブルとは、パスワードとハッシュ方式、ハッシュ値の組わせでリストから、 盗聴などで手に入れたパスワードのハッシュ値を検索して、パスワードを割り出す攻撃。
これもWEB上で探せばすぐに見つかる。

パスワードリスト攻撃

あるサイトで漏洩したユーザIDとパスワードを、他のサイトでも試す攻撃。
最近話題になっている方法。 例えばgoogleで漏洩したユーザID/パスワードをyahooで試すなど。

パスワードクラックへの対策

システム側

ログイン試行回数を制限

連続したログイン失敗した場合、ユーザをロックする。

二段階認証、多要素認証

複数の認証方式を組合せる。

bonno-sariputra.hatenablog.com

ソルトを使用

ユーザごとにランダムな文字列を組み合わせてハッシュ化する。
ログインするときにソルトをクライアントに送付し、クライアントも同様にソルトと組合せて作成したハッシュ値を送付し認証する。
パスワードとハッシュ値の組み合わせが膨大になるためレインボーテーブル攻撃に有効。

利用者

推測困難なパスワード

アルファベットの大文字、小文字、数字、記号などを組合せた予測困難なパスワードを使用する。

定期的なパスワード変更

どのサイトで漏洩しているかわからない。定期的にパスワードを変更する。

参考

newsland.jp