パスワード破りの基本

お疲れ様です。Y研究員です。他の研究員がライフイベントで忙しいので、ペースを上げて書いてみます。

先日の『フォーク爆弾』が人気だったので、今回もスクラッチでコンピューターの怪しい部分（セキュリティ）を紹介します。がんばって大げさに書くとサイバーセキュリティ入門ですが、気持ち的には年齢関係なく気軽に作って楽しめれば良いなと思っています。

パスワードは面倒

さて今回のテーマはパスワードです。長くしろとか、文字をいろいろ混ぜろとか言われますが、正直面倒ですよね。さらに厄介なのが３ヶ月毎に変えないといけないルールです。（話は脱線しますが、システム的には過去数回分しか記憶してないので、変更する日に３回とか５回とか変えてから最初のに戻す、という裏技はあります。。。）

もし真面目にやりたかったら、パスワードを保存するソフト（パスワードマネージャー）を導入してください。サイト毎にランダムに生成したパスワードを設定します。たとえ流出しても、慌てずに１箇所のパスワードを変更して対応完了です。自分はKeePassXを使ってます。

KeePassX

簡単なパスワードを破る実験

実際に弱いパスワードがどれくらい簡単に破れるか、実験します。今回もスクラッチを使います。

３桁の暗証番号として９９９を設定して、０から総当りで試しました。結果は約３３秒かかりました。

次は１桁増やして９９９９を試します。結果は１６５秒でした。攻撃対象の数字は１０倍ですが、かかった時間は５倍だけでした。

つまり４桁の暗証番号を破るのに、最大で３分かかりました。もうちょっと早くできるかなと思いましたが、少し遅いですね。スクラッチだからでしょうか。。。

Pythonでやってみる

意外に遅かったのでPythonでやり直します。雑に書きました。

４桁の暗証番号で、結果は。。。

0.6 msecでした。最大で１ミリ秒（１秒の千分の一）もかかりません。次に８桁でやってみます。（暗証番号を９９９９９９９９にします）

結果は約４秒でした。 すこしグダりましたが、文字数を多くすれば安全にできると体感できました。

で、実際にどうなの？

普通は何回もパスワードを間違い続けると止められるので、総当りは簡単にできません。なので実際の攻撃は流出したパスワードを使いまわしたり、パスワードの破片みたいなもの（ハッシュ値）からパスワードを予測したりします。

長くなりました

お疲れ様でした。今回はパスワード破りの基本を実験しました。コンピューターのセキュリティは少し怪しいけど、楽しい部分もあるのでまた書きたいと思います。

では、また！