実践! 簡単/安全/忘れない パスワード管理法 前編「こんなにあるパスワード破りの方法」


ウイルス検知ソフトやファイアウォールなど、技術的な方法でどんなに強固に防御していても、パスワードが知られてしまえば、これらの防御策は何の意味も持たなくなってしまいます。つまり、サーバに限らず、個々のPCも含め、パスワードこそが「最後の砦」なのです。たった1人の社員のパスワードが破られただけでも、そこを踏み台に会社全体の管理者権限を奪うことまで出来てしまうことがあります。つまり、1人1人が自分に「管理責任」があるという意識を持たなくてはならないのです。

PPP_kanaamitonankinjyou500

パスワード破りは簡単

パスワードを破るためのツール(ソフトウェアなど)やその方法に関する情報が簡単にネットから無償で手に入る、つまり誰でも簡単にパスワード破りができてしまうという事実があります。例えば、セキュリティ関連のツールを紹介している「SecTools.Org Top Network Security Tools」というサイトでは、パスワードを破るためのツールとしてAircrackやCain and Abel、John the Ripperなどのよく使われているツールが紹介されています。

ちなみに、これらのツールはユーザのパスワード強度を検査するためにシステム管理者が利用する場合もあり、必ずしも「犯罪」のみに使われるわけではありません。
パスワードを破る手法にはいくつかあり、ツールはその手法に基づく攻撃を自動的に行なうソフトウェアです。一般的によく知られた手法について以下に紹介します。

総当たり攻撃 (brute force attack)

文字通り、可能性のあるパスワードを1つずつ全て調べて行くもので、時間さえかければ確実に解読できます。パスワードが充分に長ければ、総当たりにも時間がかかり、解読に数年かかる場合もありますが、短いパスワードでは数時間程度で解読できてしまいます。このことから、短いパスワードが「弱い」とされるのです。

辞書攻撃 (dictionary attack)

パスワードに使われる可能性のある単語を収めた辞書データを使って解読を試みるもので、このことから、辞書に載っているような単語をそのままパスワードとして使うのは危険 (=弱い) とされるのです。

ハイブリッド攻撃

総当たり攻撃と辞書攻撃を組み合わせたもので、辞書にある単語やフレーズをもとに、そこにいくつかの文字を加えるなど、様々な組み合わせを試みます。

レインボーテーブルによる高速クラック

基本的には総当たり攻撃と同じですが、より効率的且つ高速に行なうために、あらかじめ「レインボーテーブル」と呼ばれる暗号化されたパスワード(パスワードハッシュ)と平文(暗号化されていない生の)パスワードのマッピングデータを使うというものです。

Copyright (C) 1998-2014 IID, Inc. All rights reserved.