パスワードとは?/ キャッシュワン
[ 306] パスワード・クラック:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/COLUMN/20061128/255161/
|
●レインボー攻撃とは,ハッシュ化されたパスワードを解析する手法のこと。あらかじめ計算済みのハッシュ値のテーブル(レインボー・テーブル)を基にパスワードを解析する パスワード・クラックとは,パスワードを見破ることを指します。パスワードを設定する時や管理する際の注意点に関しては,この連載の中でも既に扱いました((利用者編),(管理者編))。今回は,攻撃者の視点,すなわち情報収集の手法の一つとしてパスワードを解析する手口や用語を勉強します。 はじめに,オンライン攻撃とオフライン攻撃という用語を確認しておきましょう。オンライン攻撃とは,実際に動作しているサーバーにIDとパスワードを送って認証に成功するかどうかを調べる手法です。また,サーバー以外でも動作中のサービスに認証情報を送って調査する手法は,オンライン攻撃にあたります。 これに対してオフライン攻撃は,パスワード・ファイル,あるいはパスワードがかけられているファイルを入手して,攻撃者のコンピュータにそのファイルを移してパスワード破りを試みる手法のことです。 「パスワード破り」で誰もが思いつくのが,使われる文字の組み合わせを片っ端から順番に試してみるやり方です。この方法はブルートフォース・アタック(総当り攻撃)と呼ばれます。ただし,ブルートフォース・アタックは,パスワードの文字列が長かったり,文字種が多かったりすると,総当たりするのに時間がかかってしまいます。そこで,ユーザーがパスワードとして登録しがちな文字列をあらかじめ辞書ファイルに登録しておき,それを順次試していくやり方があります。こちらは辞書攻撃と呼ばれます。 ファイルをZIP形式に圧縮する際にパスワードをかけることができます。このときに設定したパスワードを忘れてしまった時に解読を試みるPika Zipというフリーソフトがあります※1。このツールは図1のように解読のための方法を細かく指定できるようになっています。これを筆者のパソコン上で動かして擬似的にパスワード破り(ブルートフォース・アタック:総当り攻撃)を試してみました。 このPC上でツールを動作させた場合,1秒間に160万〜180万通りの攻撃を試みることができました。これに桁数と文字種の数を勘案して解読に要する時間を見積ると次のようになります。 どちらも予想よりも大幅に短い時間で解析が終了しています。これは,数字のみの場合は0から9,英小文字・数字の場合はaからz,0から9という順番でアタックしていったため,最後の方まで試さなくても正しいパスワードが見つかったからです。 ここで一つ確認しておきたい点があります。それは,「ブルートフォース・アタックで解読を試みる場合,パスワードがどんな文字種を利用しているかがわかると,解読が容易になる(=検索数が減る)」という点です。 もちろん,わざわざツールを使って演算しなくても,机上の計算(見積もり)でわかり切っていることですが,攻撃者の立場になって考えてみると実感できるでしょう。具体的には,今回のケース(1)が10数秒で解読できたのは,「パスワードが数字だけで構成されている」ということを知っていて,効率のよい検索方法,つまり数字のみの10種類の文字で攻撃できたからです。「英小文字も交じっているかもしれない」と考えたら,攻撃者は数字+英小文字の36種類の文字を使って攻撃しなければならないため,全く同じ数字のみのパスワードでも(同じツール・同じ解読アルゴリズムを利用した場合)解読までに10数時間かかることになります。 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
キャッシュワンのサイトです。
