見出し画像

ハッカーがパスワードを解読する時間

わいわいブログ


あなたのパスワードは安全ですか?
ハッカーは、いつもあなたを狙っています。
いつなんどき危険な目に遭遇するかもしれません。


【 目 次 】
1.ハッカーが総当たり攻撃でパスワードを解読する時間
2.推奨される安全なパスワード
3.ハッカーが使っているパスワードハッキングソフト
4.パスワードが漏洩したか確認するサイト
5.安全なWebアプリケーションの開発のために

参考資料: Webアプリのセキュリティ要件定義書



1.ハッカーが総当たり攻撃でパスワードを解読する時間


出典:https://www.reddit.com/r/Infographics/comments/iovbi8/updated_table_on_time_to_brute_force_passwords/


辞書攻撃(ディクショナリアタック)

辞書攻撃とは、辞書に掲載されている単語や人名を組み合わせて、パスワードを推測して試す方法。総当たり攻撃より効率的に解読できる。辞書攻撃は、単純に辞書に掲載されている単語を試すだけでなく、大文字と小文字を組み合わせたり数字を加えて見たりして攻撃する。総当たりするより大幅に解読時間が、短縮されるのが特徴です。

人は、パスワードを忘れると困るので、覚えやすい単語や地名、人の名前を使うことがよくある。ハッカーはこれを逆手にとって攻撃してくる。これらのパスワードは、簡単な単語の組み合わせなので容易の解読されてしまう。何十万語も辞書に収録されているが、ハッカーにとっては一瞬に解読できてしまう。とても危険なパスワードです。


ハイブリッド攻撃
総当たり攻撃と辞書攻撃を組み合わせて、より精度の高い攻撃をしてくる方法をハイブリッド攻撃という。この方法を行うことで、解読時間が大幅に短縮される。



2.推奨される安全なパスワード


・パスワードが長さ最低12文字。
・パスワードは、英数字・大文字・小文字・記号の組合せ。
・一般的な単語は避ける。例)abc123、123456、Iloveyouなど
・あなたのパートナーや子ども、ペットの名前は避ける。
・パスワードを再利用しない。
・パスワードマネージャーを利用して再利用を防ぐ。
・パスワード認証は多要素認証を使い、2つ以上組み合わせる。


注意)パスワードを定期的に変更することは、現在は推奨されていません。
総務省「安全なパスワード管理

出典:https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html


パスフレーズとは

米国国立標準技術研究所(NIST)が まとめた最新版の ガイドライン ※によると、破られにくく、かつ覚えやすい文字列を作り出すために、パスワードではなく「パスフレーズ」の使用を勧めている。パスワードと言えば、複雑にすることが重要だと考えられていたことから、アルファベットの大文字と小文字や数字、記号などを含めて より複雑なパスワードを設定することが、望ましいとされていた。

ところが、米国国立標準技術研究所(NIST)によると、複雑さより長さが重要だと指摘している。そこで、設定するパスワードを複数の単語を組み合わせたり、文章で作成するパスフレーズを推奨している。

※NIST Special Publication (SP) 800-63-3「デジタルアイデンティティガイドライン」

パスフレーズの例)
“[I] [l]ike [t]o [p]lay [b]asket[b]all.” ( I like to play basketball )
単語の頭文字を取って
Iltpbb


パスワード生成ツール

こちらのサイトは、お好みのパスワードを自動生成してくれるツールです。

https://www.luft.co.jp/cgi/randam.php



3.ハッカーが使っているパスワードハッキングソフト


ハッシュ衝突攻撃
MD5やSHAなどハッシュ値を使ったパスワードでも安全ではありません。ハッカーが使っているCrackStaionといったソフトで破られてしまいます。ハッシュ衝突攻撃ができるソフトが多数存在しているため、ハッシュ値であっても安心は禁物です。

https://crackstation.net/


ハッカーが使っているパスワードハッキングソフト

  • CrackStation

  • Password Cracker

  • Brutus Password Cracker

  • Aircrack

  • RainbowCrack

  • THC Hydra

  • Cain and Abel

  • Medusa

  • John The Ripper

  • OphCrack

  • WFuzz

  • Hashcat



4.パスワードが漏洩したか確認するサイト


「Have I Been Pwned」というサイトは、パスワードが流出しているかどうか確認できるサービスをオンライン上でしています。ウィキペディアによると、2019年6月現在、80億件の漏洩情報を有している。メール通知サービスに登録を行うと、個人情報が含まれる新たな情報漏洩が発覚した際には、その情報がメールで通知が届くサービスも実施している。


https://haveibeenpwned.com/Passwords




5.安全なWebアプリケーションの開発のために


開発側も防衛手段として、数分ごとに自動変化するパスワード「ワンタイムパスワード」や「セキュリティトークン」を採用したり、一定の速度以上でパスワードを試そうとする行為を禁止したりするなどして、Webシステムを再構築して対策をとる必要がある。


日本政府が実施している「e-Gov電子申請」は、ワンタイムパスワードを採用しており安全性が高い。

e-Gov電子申請では以下の手続きができる。
・社会保険関係手続
・雇用保険関係手続
・労働保険関係手続




参考資料)
安全なWebアプリケーションの開発に必要なセキュリティ要件書です。Web開発者の方は参考にしてください。資料は、下記のリンクからダウンロードできます。

Webアプリのセキュリティ要件定義書
https://github.com/OWASP/www-chapter-japan/tree/master/secreq



もっとも一般的に使われているパスワードTOP200

qwerty は一見すると不規則なパスワードのように見えるが、キーボードの配列から容易に解読されてしまう。




まとめ


ハッカーにねらわれたら、確実にパスワードは解読されてしまいます。パスワードの長さは、最低でも12文字で、英数字の、大文字・小文字・記号を組合せる。文字数は、多ければ多いほどいい。容易に想像できない単語を選ぶこと。特に、辞書に収録してある単語はさけましょう。



インスタ https://www.instagram.com/yyblog77/
Twitter https://twitter.com/yymizuta
ブログ https://yyblog.buzz/
プロフィール https://yyblog.buzz/right-sidebar/


この記事が気に入ったらサポートをしてみませんか?