パスワードクラッキング

情報セキュリティ コメントを残す

 今回はパスワードクラッキングの方法についていくつかの手法を確認していきます。各手法の概要を把握してこれからの情報セキュリティに生かせていただければと思います。

・認証要素、パスワード認証について

・パスワードクラック

・オンライン、オフライン攻撃

・辞書攻撃、総当たり攻撃

・パスワード推測

・まとめ

・認証要素、パスワード認証について

 ネットワークシステムでよく利用されている認証にはパスワード認証があります。これを認証要素で見た場合には記憶認証に該当します。認証とはログインなどに利用されるアカウントが正当なユーザであるかを確認するためのものです。認証要素は以下3点に分かれます。

 ・記憶認証

 「ユーザしか知らない何か」を認証に用います。

 ・持ち物認証

 「ユーザしか持っていない何か」を認証に用います。ワンタイムトークンデバイスやランダム数値がのっているカードはこれに該当します。

 ・整体認証

 「ユーザである何か」を認証に用います。生態的な特徴を認証に用いる物で、「指紋認証」「声帯認証」が該当します。

 こられを複数組み合わせて利用することを多要素認証といいます。この利用方法はセキュリティ的には推奨されています。

・パスワードクラック

 通常ユーザを識別するためには「アカウント」、「パスワード」の2項目が必要になります。これらいずれかが不明であれば認証することは困難になります。

 「パスワード」を推測することは困難ですが、事前の情報収集で得られた内容を確認すれば「アカウント」を推測することはできます。

 情報収集の中でメールアドレスがあれば、アカウントは「アカウント@ドメイン」である可能性があるのでこのアカウントを元にしてパスワードを探し出します。

 パスワードクラッキングの手法としては以下が考えられます。

  ・直接ログインを試す(能動的なオンライン攻撃)
  ・マルウェアの利用、ネットワーク盗聴を利用する(受動的なオンライン攻撃)
  ・パスワードを本人から聞き出す(ソーシャルエンジニアリング)
  ・レインボーテーブル攻撃を実行する

 ※レインボーテーブル攻撃
  レインボーテーブル攻撃とは、ハッシュ値から原文(平文)を求める効率的な手法の一つで、あらかじめ計算した大量の平文候補を少ない容量で記録しておき、短時間で総当たり攻撃実行するもの

・オンライン、オフライン攻撃

 能動的なオンライン攻撃としては、実際にログイン画面に接続してID・パスワードを実行する方法です。ただしこの攻撃はログに残りますのでクラッキングとして発見しやすいものになります。

 また、現在では複数回ログインに失敗するとロックアウト機能が働いてログインできなくなります。そのため能動的なオンライン攻撃は実際には殆ど使われていません。

 受動的なオンライン攻撃の主なところではマルウェアを仕掛けてパスワードを探る方法があります。何かしらの方法をもってマルウェアを対象に送る必要があります。よくある手法ではメールを使ったものではないでしょうか。

 オフライン攻撃は、パスワードを記録したファイルを盗み出して解析する方法です。基本的にパスワードはハッシュ化されて保存されているので、これを解析します。方法としては辞書・総当たり攻撃、ハッシュ値を比較するレインボーテーブル攻撃を実施します。

・辞書攻撃、総当たり攻撃

 ユーザ辞書、パスワード辞書といったものがインターネット上に公開されています。これらはパスワードとして利用されていそうな語句や一般的に利用されている初期パスワードなどを羅列したものです。これをもとにしたパスワード試行方法を辞書攻撃といいます。

 これに対して、パスワードに利用される文字列全てを組み合わせて手あたり次第試行する方法が総当たり攻撃になります。総当たり攻撃は全てのパターンを一つづつ確認していく手法なので解析に時間がかかります。設定したパスワードが長ければ長いほど解析は難しくなります。

 しかし近年一般ユーザでもハイスペックコンピュータを複数台簡単に利用できること、GPUを利用することなどを挙げるとパスワードが長かれば良いというわけでもなさそうです。

・パスワード推測

 ハイスペックマシンを利用したとしても、総当たり攻撃では相当な時間がかかります。そこで効率的にパスワードをクラッキングする方法として辞書攻撃と総当たり攻撃を組み合わせたハイブリッド攻撃があります。

 また、パスワード推測、総当たり攻撃を組み合わせてのハイブリッド攻撃もあります。ここで重要になるのはユーザの個人的な情報収集を細かく実施することで成功率が上がることです。昨今SNSではプロフィールに誕生日、名前、趣味などいろいろ情報が公開されています。これら情報を利用してパスワード推測を実施すれば単純な総当たり攻撃よりも可能性が高くなりそうです。

・まとめ

  単純にパスワードクラッキングといっても色々な種類がありました。そして以下内容についてはしっかりと把握しておく必要がありそうです。

 ・パスワード認証だけでは脆弱なので多要素認証が望ましい

 ・パスワードクラッキング手法はオンラインだけとは限らない

 ・総当たり攻撃や辞書攻撃は掛け合わせて実行することで効率的である

 ・推測されやすいパスワード設定は危険である

 攻撃手法は日々変化しているので、過去の情報だけにとらわれず新しい手法について常にアンテナを張っておきたいですね。

Facebook にシェア

返信を残す

メールアドレスが公開されることはありません。

CAPTCHA