家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

パスワードクラッキングの手法

パスワードに対する攻撃はパスワードクラッキングといいます。
パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。

 

 

 

パスワードクラッキング手法一覧

名称 概要

ブルートフォースアタック

一つのアカウントに対して、パスワードの組み合わせを総当たりで試行する攻撃です。

パスワードに対してアカウントを総当たりで試行する攻撃手法はリバースブルートフォース攻撃と呼ばれます。

辞書攻撃 辞書や人名リストなどにある単語の組み合わせから、パスワードを推測する攻撃です。
リスト型攻撃 外部に流出したアカウント情報(リスト)を使用してログインする攻撃です。
パスワードスプレー攻撃

一般的に使用されるパスワードを使用し、複数のアカウントにログインを試行する攻撃です。

ログイン失敗によるロックを防ぐため、パスワードを変えずに、複数アカウント、複数サイトにログインする攻撃です。

類推攻撃 SNS等にある、個人情報などを手掛かりとしてパスワードを推測する攻撃です。
盗聴 ネットワークを監視し、パケットからパスワードを取得する攻撃です。
レインボーテーブル パスワード候補のハッシュ値をあらかじめ計算し(レインボーテーブル)、取得したパスワードのハッシュ値からもとのパスワードを割り出す攻撃です。

 

 

 

パスワードクラッキングへの対策

  ブルートフォースアタック 辞書攻撃 パスワードスプレー攻撃 リスト型攻撃 類推攻撃 盗聴 レインボーテーブル

一つの英単語等を

パスワードにしない

         

パスワードの

使いまわしをしない

         
長いパスワードを使用する            

大文字、小文字、記号等を

含む複雑なパスワードにする

           
多要素認証の利用 ○ 

複数単語を組みわせた

パスワードを設定する

         

氏名や誕生日等、

自身に関連する情報を

パスワードにしない

           
ログインの通信は暗号化する            

一定回数ログイン失敗した

アカウントのロック

(サービス側)

           

ソルトを使用した

パスワードの保管

(サービス側)