[情報処理安全確保支援士への道]-パスワードクラックについて-

Submitted by UltraBirdTech on Mon, 09/18/2017 - 00:35

概要

OSやアプリケーションプログラムのパスワードを破ることが目的の攻撃。

ネットワークを介して行うオンライン攻撃と、パスワードを保存したファイルをローカル環境で解析するオフライン攻撃がある。


種類

推測によるパスワードクラック

利用者のパスワードを推測する攻撃。

IDの情報から推測できたり、プロフィールを記載している場合はプロフィールから推測するなどして、パスワードを割り出す。

 

辞書ファイル

パスワードに使われそうな文字列を大量に登録し、順次ログインを試行する方法。

一般的な辞書に載っている単語や、IT系の単語sys 、adminなどをパスワードにしている場合突破されやすい。

Webサービスは一定回数失敗したらログインできない機能である、アカウントロック機能が採用されているので、オフラインで行われることが多い。

 

ブルートフォース攻撃(総当たり攻撃)

利用者ID を固定して、特定の文字数、文字種類のすべての組み合わせを施工する方式。

パスワード長が短く、文字種が少ない場合は突破される可能性がある。

このことから、パスワード長は長く、使用できる文字種も多い方がいい。

Webサービスは一定回数失敗したらログインできない機能である、アカウントロック機能が採用されているので、オフラインで行われることが多い。

 

リバースブルートフォース攻撃

パスワードを固定して、利用者IDを変えていく手法。

特に管理が煩雑なサーバーなどは、管理者のID とパスワードが同じだったり、初期設定のままの場合が多い。

WebサービスやSNSでも管理が煩雑なアカウントはわかりやすいパスワードでしか管理してなさそう・・・

 

レインボーテーブル

ハッシュ値から平文を得るためのアルゴリズムの一種。

総じて、レインボーテーブルによって生成されたテーブルそのものを意味する。

→ソルトでの対策が有効

パスワードからハッシュを求める際にランダムな文字列を付与する。同じパスワードでも出力されるハッシュが変わるためレインボーテーブルでの特定が困難になる。

 

パスワードリスト攻撃

ログイン機能を有するWebサービスから流出した、IDとパスワードを利用して他のWebサービスにログインを試みる手法。

パスワードの使い回しをしている場合は被害にあう。

昨今、パスワードを盗まれるというニュースを聞くので、気をつけるべし。

 


対策

・多要素認証を設定できるようにする

・アカウントロック機能の有効化

・アクセス権の見直し

・推測困難なパスワードを設定する(ように促す)

・ハッシュ値を求める際、ソルトを使用する

・使用可能な文字種類を多くする

・最小の文字数を長くする

 


まとめ

パスワードに関しては非常に身近でありなから、対策が難しいなと思っています。

どうしても簡単なパスワードをつけたくなるし、使い回したくなってしまいます。

かといって、どう管理するのが一番管理しやすいのか・・・

 

私自身も今年から多要素認証を設定できるサービスは設定しています。

皆さんもお気を付けください。


最近のパスワードに関するニュース

パスワードの定期変更、強制はダメ? その理由と1つの例外 (1/2)

→ここら辺最近のホットなニュースだから出ててもおかしくはなさそう・・・


参考資料

https://ja.wikipedia.org/wiki/レインボーテーブル

情報処理教科書 情報処理安全確保支援士 2017年版