ウイルス検知ソフトやファイアウォールなど、技術的にどんなに強固な対策を施していても、パスワードが知られてしまえば、これらの防御策は何の意味も持たなくなってしまいます。
特に企業などにおいては、サーバーに限らず、個々のPCも含め、パスワードこそが「最後の砦」なのです。
たった1人の社員のパスワードが破られただけでも、そこから会社全体の管理者権限を奪うことまで出来てしまいます。つまり、1人1人が「管理責任」の意識を持たなくてはならないのです。
パスワード破りは”簡単”?
実は、パスワードを破るためのツール(ソフトウェアなど)やその方法に関する情報は簡単にネットから無償で手に入るんです。
つまり誰でも簡単にパスワード破りができてしまうんですね。
例えば、セキュリティ関連のツールを紹介している「SecTools.Org Top Network Security Tools」というサイトでは、パスワードを破るためのツールとしてAircrackやCain and Abel、John the Ripperなどが紹介されています。
ちなみに、これらのツールはユーザーのパスワード強度を検査するためにシステム管理者が利用する場合もあり、必ずしも「犯罪」のみに使われるわけではありません。パスワードを破る手法にはいくつかあり、これらのツールはその手法に基づく攻撃を自動的に行なうソフトウェアです。
今回は、一般的によく知られた手法について以下に紹介します。
1.総当たり攻撃 (brute force attack)
文字通り、可能性のあるパスワードを1つずつ全て調べて行くもので、時間さえかければ確実に解読できます。
パスワードが充分に長ければ、総当たりにも時間がかかり、解読に数年かかる場合もありますが、短いパスワードでは数時間程度で解読できてしまいます。このことから、短いパスワードが”弱い”とされています。
2.辞書攻撃 (dictionary attack)
パスワードに使われる可能性のある単語を収めた辞書データを使って解読を試みるもので、このことから、辞書に載っているような単語をそのままパスワードとして使うのは危険 (=弱い) とされています。
3.ハイブリッド攻撃
総当たり攻撃と辞書攻撃を組み合わせたハイブリッドで、辞書にある単語やフレーズをもとに、そこにいくつかの文字を加えるなど、様々な組み合わせを試みます。
4.レインボーテーブルによる高速クラック
基本的には総当たり攻撃と同じですが、より効率的かつ高速に行なうために、あらかじめ「レインボーテーブル」と呼ばれる暗号化されたパスワード(パスワードハッシュ)と平文(暗号化されていない生の)パスワードのマッピングデータを使うというものです。
PC用 無料版『キングソフト セキュリティ Pro』
『キングソフト セキュリティ Pro』は、PC向けの無料版もございます。
無料版は、ホームページをStartHomeに設定いただくか、不定期に画面右下にへポップアップ広告が表示されることで無料でご利用いただけます。
まずは試したい!という方へオススメします。