ブルートフォースクラッキングがパスワードを明らかにする方法

[ware_item id=33][/ware_item]

ハンマーが南京錠を力ずくで開こうとします。


暗号化では、ブルートフォース攻撃は、暗号化キーを推測して暗号化されたコンテンツを解読しようとします。この攻撃は、暗号化キーが短い場合、または攻撃者がキーを試行および推測するのに十分な情報を持っている場合に実行可能です。.

Webフォームに関しては、攻撃者はキーを推測する時間があまりありません。 GoogleまたはFacebookでは、「ロックダウン」する前に、だれかがあなたのアカウントに何度もログインしようとすることができます。

ただし、ハッカーが企業の内部データベースを入手すると、パスワードは暗号化されていても、世界中で常に推測することができます。.

ウェブサイトはユーザーを保護するためにパスワードをソルトおよびハッシュする必要があります

Webサイトがパスワードを保存するとき、ユーザーデータベースを所有している誰かがそれを使用できないように、ユーザーパスワードをソルトおよびハッシュする必要があります(常にではありません).

SHA-256などのハッシュ関数は、一方向の暗号関数です。任意のデータ、テキスト、画像、または数値を「ハッシュ」できます。入力の長さに関係なく、結果の長さは常に256ビットになります。 (以下のように)16進数でエンコードすると、64文字の文字列になります.

塩漬けハッシュは保護を強化します再びハッシュ化された「塩漬け」ハッシュの例.

攻撃者がパスワードをクラックする方法

潜在的なハッカーにとって事態を困難にするために、Webサイトはランダムなデータである「塩」を使用してパスワードを修正します(ソルティングとハッシュの仕組みを参照).

テキスト、画像、またはファイルからハッシュを計算するのは簡単で、コンピューターにかなりの時間やリソースを費やすことはありません。しかし、ハッシュしかわからない場合、元の値を見つける唯一の方法はブルートフォース攻撃です。これが、ハッシュ関数が一方向暗号化とも呼ばれる理由です。テキストからハッシュに行くのは簡単ですが、逆に行くのは非常に難しいです.

盗まれたユーザーデータベースを所有しているパスワードクラッカーは、ユーザー名のリスト、各ユーザーのソルト値、およびハッシュを表示する場合があります.

これらの詳細を使用して、彼らは各ユーザーのパスワードを推測し、それらをソルトおよびハッシュし、データベースに保存されたハッシュに対して結果をチェックしようとします。ハッシュが一致する場合、彼らはパスワードを見つけたことを知っています.

攻撃者はユーザー名とパスワードを正確に入力する必要があります。ハッシュをほんの少しでも変更すると(上記を参照)、完全に異なるハッシュになるためです。.

パスワードの組み合わせはいくつありますか?

パスワードが小文字のみで構成されていると仮定すると、各文字には26の可能性があります。したがって、13回の試行で1文字のパスワードを推測できることが期待されます。.

2文字のパスワードには26×26のオプションがあり、解読には(26×26)/ 2回の試行が必要です.

c =(m ^ n)/ 2 各キャラクターの可能性の間の関係を説明します (m), パスワードの長さ (n) 予想される予想数 (c).

パスワードの長さとそれを解読するための推測の数との関係

さまざまな長さのパスワードを解読するために必要な推測の数を示すグラフ。

  • 小文字のパスワード(m = 26)
  • 大文字と小文字(m = 52)
  • 大文字と小文字および特殊文字(m = 67)

複雑さと長さの両方がパスワードの強度に寄与しますが、複雑さを増すよりもキャラクターを追加する方がはるかに価値があります.

小文字のみを使用して4文字のパスワードに余分な文字を追加すると、クラッキングが26倍難しくなりますが、可能な文字を52倍にすると(つまり、大文字を追加すると)クラッキングが16倍難しくなります.

対数目盛により、パスワードの長さとクラッキングに必要な推測の関係がより明確になります

必要な推測試行回数に対するパスワードの長さのスケールを示すグラフ。

  • 小文字のパスワード(m = 26)
  • 大文字と小文字(m = 52)
  • 大文字と小文字および特殊文字(m = 67)

パスワードを解読するのにどれくらい時間がかかりますか?

攻撃者がパスワードを解読できる速さは、攻撃者のコンピューターハードウェアの速さに依存します.

通常のコンピューターでは、1秒あたり約100,000の推測が行われます。専用GPUはこれよりも100倍高速であり、数百のGPUでパスワードクラッキングファームを作成することが可能です。.

攻撃者が1秒あたり100,000回推測できる通常のコンピューターを持っていると仮定すると、6文字未満の小文字のパスワードを解読するのに1分もかかりません.

しかし、解決時間は指数関数的に増加し、8文字のパスワードを解読するには12日かかります。 12文字のパスワードは12,000年以上かかります.

12文字のパスワードで十分かどうかは、保護する値と攻撃の規模によって異なります。攻撃者が単一の標的の後にいる場合、12文字のパスワードが届く可能性があります.

そのため、貴重なデータ(個人情報やビットコインの秘密キーなど)をはるかに長いパスワードで保護することが重要です。たとえば、Bitcoinウォレットを暗号化する場合、32文字を超えるキーを使用することをお勧めします.

攻撃者の情報が多ければ多いほど、クラックが早く発生します

上記の計算では、大文字または小文字が含まれているかどうかを除き、攻撃者はパスワードについて何も知らないと想定しています。.

実際には、攻撃者は推測をしている場合があります。以前に復号化されたパスワードリストから、最も一般的なパスワードが何であるかがわかります。特定のターゲットがない場合、攻撃者はメーリングリストで一般的なパスワードを比較的迅速にチェックできます。.

また、末尾に数字のみが含まれるパスワード(hello11​​1など)を選択し、サービスの名前またはURLをどこかに含める傾向があります。 googleまたはgmail wordsという単語を含み、末尾に4桁の数字(gmailpanther1234など)が含まれているGmailに使用されるパスワードは、たとえ長い場合でも簡単に解読されます.

人々はまた、ペットや子供の名前をパスワードとして使用する傾向があり、時には誕生日や年と組み合わせて、人々が想像するよりも簡単にパスワードを推測できるようにします.

パスワードマネージャーで強力なパスワードを使用する

最も重要なルールは次のとおりです。常に強力なパスワードを使用する.

非常に多くの堅牢なパスワードを作成して覚える手間を回避するには、ランダムパスワードジェネレーターを使用して、長く、一意で、本当に推測できないパスワードを便利に作成します。.

これらのパスワードをパスワードマネージャーで保存する場合は、1つのパスワード(Dicewareで生成して安全性を高めることができます)を覚えておくだけで済みます。さらに、2要素認証は、フィッシング攻撃によって取得されたパスワードなど、さらに高度な攻撃からアカウントを保護するのに役立ちます.

ブルートフォースクラッキングがパスワードを明らかにする方法
admin Author
Sorry! The Author has not filled his profile.