パスワードの解析時間と攻撃方法一覧

いつもありがとうございます。
管理人の福助です。

この記事では

・パスワードを解析する手法一覧
・パスワードの文字種・桁数別によるパターン数と解析時間

をまとめさせて頂いております。

パスワードを設定する方法は下記記事にまとめてありますが
今回のパスワードの危険性を参考に設定して下さい。

Lhaplusを使用してファイルにパスワードを設定する方法

パスワード設定によるセキュリティリスクを把握しよう

パスワード設定をする際に何か気をつけている事はあるでしょうか?

誕生日や住所、電話番号、車のナンバー、連続した数字
等、自分が覚えやすいものにしてしまっていませんでしょうか。

本来パスワードとは他人に推測されにくいものを設定する事で
初めて意味を成すものです。

それが先ほど挙げた誕生日等にしてしまうと
他人にヒントをあげているのと同じ状況です。

今回はパスワードの攻撃方法とどんなパスワードが望ましいか。
についてまとめてありますので参考にして頂ければと思います。

主なパスワード攻撃手法

ブルートフォース攻撃

ブルートフォース攻撃(総当たり攻撃)とは
考えられる全ての暗号鍵を自動化されたプログラムによってひたすら入力し、
復号化プログラムによって、暗号が意味のある文字列になるかどうかを
試行錯誤しながら調べて行く方法です。

ブルートフォース攻撃を受けてしまうと
時間はかかりますがいずれ解読されてしまいます。

辞書攻撃

辞書攻撃とは予めパスワードによく使われそうな単語を登録した辞書を用意し、
順番に試していく手法。
総当りになるブルートフォース攻撃に比べ解析時間は短くなる事が多い

辞書攻撃の上位にのってしまうパスワード、
通称「最悪のパスワード」のランキングが毎年発表されています。

上位20位をご紹介させて頂きますが
もしこの中に今設定しているパスワードがあったら
すぐに変更を検討して下さい。

もう一度言いますが「最悪のパスワード」です。

■最悪のパスワードランキング上位20

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&

パスワードリスト攻撃

パスワードリスト攻撃とは漏洩したID/パスワードを利用して
突破を試みる手法の事を指します。
パスワードを色々なサイトで使い回している人がターゲットとなります。
どこか一つでもパスワードが漏洩した場合全てのサイトでログインしなりすましされる恐れがあります。

合わせて先ほどの最悪パスワードを使いまわしているとすると・・・
もうどうしようもない状態になります・・・。

すぐにパスワード変更を検討下さい。

パスワードの文字種・桁数別によるパターン数と解析時間

ではどの様なパスワードにすればよいかという事で
パスワードの文字種・桁数別によるパターン数と解析時間をまとめました。

パスワードの文字種・桁数別によるパターン数

パスワードの文字種・桁数別による解析時間

ハイスペックPCでブルートフォース攻撃を用いたZipファイルパスワード解析時間(dit 2014年発表データ引用)

一般的PCでの解析時間(ハイスペックPCと同様の手法)

上記の結果となり詳細にみていくと驚きの結果になっているかと思います。

「英小文字のみ」の「7桁」パスワードだと約80憶通りあるにも関わらず、
ハイスペックPCだとわずか2秒!!
一般的PC(福助自身のPCでやりました)でも7分で解析可能という事が分かります。

80億通りでこの時間ですよ?!

80憶・・・

さらに、「英大小文字+数字」の「7桁」パスワードだと約3.5兆通り
あるのですがそれをわずか15分で解析
一般的PCでも2日です。

3.5兆通りって・・・なんですか?
というのを簡単に解析してしまいます。

「英大小文字+数字+記号」の「9桁」までいくと約69京通り
という今までもこれからも決して交わる事のない単位「」となっています。
さすがにこれはハイスペックパソコンでも5年、
一般的PCでも1,000年解析するのにかかってしまうという事です。

1,000年前の機密情報が漏れたとしても
さすがに誰にも被害はでないでしょうきっと。

まとめ

パスワードを解析する手法はいくつかあり、
各自が気を付けて設定をしていかないと
被害を未然に防ぐ事が難しいという事が伝わったのではと思います。

気を付ける事としては下記の3点。

・パスワードの使いまわしは禁止
最悪のパスワード等、他人に推測されやすいパスワードは使わない
複数の文字種+数字で桁数を多くするのが望ましい

大事なのは攻撃されてしまった場合に
気付けるか気付けないか」だと思います。

正直高スペックパソコンに狙われたらもうどうしようもないと思います。

ただ、一般的PCに簡単にやられない為にも
せめて解析時間が1日以上はほしいかなと個人的には思います。

なので福助がおすすめするパスワードは

9桁以上の「英小文字のみ」
7桁以上の「英大小文字+数字」
7桁以上の「英大小文字+数字+記号」

となります。

パスワードは覚えやすくて打ちやすいものが良いですが
嬉しくなるのは「使用者」も「悪意をもった人」も同じです。

各自気を付けてセキュリティを保ちましょう。

最後までお読みいただきありがとうございました。

関連記事

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る