パスワードクラック 【password crack】 パスワードクラッキング / password cracking

最も単純で原始的な手法は「総当たり攻撃」（brute force attack：ブルートフォース攻撃）で、考えられるありとあらゆる文字の組み合わせを試す方式である。短くて単純（文字の種類が少ない）場合には有効な手法で、例えば数字4桁の暗証番号は「0000」から「9999」までの1万通りであるため、コンピュータで自動的に繰り返し試行できる環境ならばすぐに割り出すことができる。

辞書攻撃・類推攻撃

覚えやすく入力しやすいパスワードにしたいという人間心理の隙をついて効率的にパスワードを探索する手法もある。一般的な単語やよくある人名や地名、およびそれらの組み合わせを探索する「辞書攻撃」（dictionary attack）や、ターゲット本人に関連する情報（誕生日、住所、電話番号、家族の名前など）や単純な文字列（「12345」「abcde」など）を組み合わせたり一部を改変して探索する「類推攻撃」などがよく知られる。

パスワードリスト攻撃

複数のシステムやサービスで別々のパスワードを設定してそれぞれ覚えるのは億劫であるため、多くの人がパスワードの「使い回し」をしている。これを利用した攻撃手法が「パスワードリスト攻撃」で、あるサービスから不正アクセスなどで流出したIDとパスワードの組を用いて他のサービスへのログインを試み、パスワードを使いまわしている利用者のアカウントを乗っ取る。

パスワードのハッシュ化

認証システムなどではユーザー情報を保存する際、不正に盗み出されてもパスワードが露見しないよう、パスワードをハッシュ化してハッシュ値のみを保存する。ログイン時に入力されたパスワードとの照合はハッシュ値の比較のみで可能な一方、攻撃で流出しても元のパスワードは分からない。ただし、ハッシュ関数の強度が低い場合には総当たり法で短時間に逆算できてしまう場合があり、パスワードが割り出されてしまう。

関連用語

アカウント

【account】

サーバ

【server】

ログイン

【login】

暗号化

【encryption】

ファイル

【file】

総当たり攻撃

【brute force attack】

認証

【authentication】

辞書攻撃

【dictionary attack】

アクセス

【access】

コンピュータ

【電子計算機】

クラッキング

【cracking】

ネットワーク

【network】

ID

【identification】

システム

【system】

ツール

【tool】

データ

【data】

セキュリティ

【security】

パスワード

【password】

リスト

【list】

サイト

【site】