![見出し画像](https://assets.st-note.com/production/uploads/images/118586615/rectangle_large_type_2_626ce701e6b718665c35e9d43e012525.png?width=800)
【たった4問で完璧】パスワードクラックは4つだけ覚えれば、さくっと解ける!
googleや楽天など利用するIDとパスワード。特定されてしまうと、なりすましでログインされちゃいます。
このNoteではパスワードクラックの過去問をまとめました。
最近の攻撃系の問題は、ITパスポートレベルでさえ、多用な攻撃用語がごちゃまぜになって出題されます。攻撃ジャンルごとに整理して学習しないと、いつまでも問題に振り回されてしまいます。
まずはまとまった攻撃を学習しましょう。
>>パスワードクラック攻撃の対策Note<< ←このNote
その後にいよいよ、>>ITパスポートの攻撃問題対策Note<< で問題演習をしてくださいね。
なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、ちょっとでも信用してくれたら嬉しいです。
\全てのNoteへのリンク集/
パスワードクラック4つと問題演習
パスワードクラックは4種類、名前と手口をキーワードで覚えましょう。
ブルートフォース攻撃:パスワードにあらゆる文字の組み合わせを入力して試す
リバースブルートフォース攻撃:IDにあらゆる文字の組み合わせを入力して試す
パスワードリスト攻撃:別サイトで入手したIDとパスワードを流用して試す
辞書攻撃:パスワードでよく使われそうな言葉を組み合わせて試す(sytem2023など)
パスワードリスト攻撃の手口はどれか。
ア:攻撃対象の利用者IDを一つに定め、辞書にある単語やその組み合わせをパスワードとして、ログイン試行する
イ:パスワードの文字数上限が小さいWebサイトに対して、攻撃対象の利用者IDを一つに定め、あらゆる文字を組み合わせたパスワードを総当たりして、ログイン試行する
ウ:複数サイトで同じ利用者IDとパスワードを使っている利用者がいる状況に着目して、他サイトから不正取得したIDとパスワードの一覧表を流用して、ログイン試行する
エ:よく用いられそうなパスワードに固定し、利用者IDにあらゆる文字を組み合わせて総当たりにログイン試行する
正答はウ。
ア:辞書攻撃
イ:ブルートフォース攻撃
エ:リバースブルートフォース攻撃
次は消去法で解きましょう。
ジョーアカウント攻撃はどれか。
ア:攻撃者が何らかの方法で事前入手した利用者IDとパスワードの組みのリストを使って、ログイン試行する
イ:パスワードを一つ選び、利用者IDとして次々に文字列を用意して総当たりにログイン試行する
ウ:パスワードを利用者IDと同じに設定する実情に着目して、IDとパスワードを同じにして次々にログイン試行する。
エ:利用者IDを一つ選び、パスワードとして次々と文字列を用意して総当たりにログイン試行する
正答はウ。ジョーアカウント攻撃。現状ITパスポートには出てません。とはいえ、リアルでIDとパスワードは別々にしましょうね。
ア:パスワードリスト攻撃
イ:リバースブルートフォース攻撃
エ:ブルートフォース攻撃
想定され得るパスワードとそのハッシュ値とのリストを用いて、入手したハッシュ値からパスワードを効率的に解析する。
ア:パスワードリスト攻撃
イ:ブルートフォース攻撃
ウ:リバースブルートフォース攻撃
エ:レインボー攻撃
正答はエ。
ハッシュ値とは、データをハッシュ関数に通した出力値。ハッシュ関数は、デジタル署名やブロックチェーンに使われます。
パスワードはネットワークでもサーバでもハッシュ値になって通信・保管されます。なぜなら、パスワードがそのままネットワーク通信すると盗聴されると詰み、サーバにそのまま保存されると関係者が悪用できますからね。
ハッシュ関数は以下3つの特徴を持った特殊な関数です。
一方通行:出力値から入力値を逆算推定するのがほぼ不可能
全然違う:入力値がちょっとでも違うと、全然違う出力値がでる
固定長出力:どんな長さの入力値を入れても、出力値の長さは同じ
詳しくは、>>デジタル署名対策Note<< をどうぞ。
サーバのログイン時に用いるパスワードを不正に取得しようとする攻撃のうち、辞書攻撃とブルートフォース攻撃について、その対策の組み合わせで正しいのはどれか。
a:推測されにくいパスワードを設定する
b:ログインの試行回数に制限を設ける
c:パスワードを暗号化して送信する
d:利用者IDとパスワードを、他サイトのものと違うものに設定する
ア:a, b
イ:a, c
ウ:a, d
エ:b, c
正答はア。
a:「2023年だから2023って入ってる?」と推測されないように
b:制限回数を超えると一時的にIDを使えなくする。ロックアウトと云う
c:通信経路上での盗聴防止
d:パスワードリスト攻撃への対策
まとめ | パスワードクラックは4つでOK
解いてきたように、4つ覚えれば
ブルートフォース攻撃:パスワードにあらゆる文字の組み合わせ
リバースブルートフォース攻撃:IDにあらゆる文字の組み合わせ
パスワードリスト攻撃:別サイトで入手したIDとパスワードを流用
辞書攻撃:パスワードでよく使われそうな言葉
とはいえ、引用した問題が2つ以上だったので、バラバラになって出題されます。逆に言えば、そんな小細工をしないと簡単な問題になってしまうんです。
攻撃用語はたくさんあるので、学習コスパは良くないです。とはいえ、セキュリティは、基本情報技術者でも応用情報技術者でも、他のベンダー資格でも遭遇し続けます。
ITパスポートのうちから、整理しながら知っていきましょうね。
>>パスワードクラック攻撃の対策Note<<
>>DoS攻撃の対策Note<< ←次のNote
その後にいよいよ、>>ITパスポートの攻撃問題対策Note<< で問題演習をしてくださいね。
\全てのNoteへのリンク集/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ