パスワードクラック

パスワードクラック とは †

• パスワードを破る攻撃方法のこと

パスワードクラックの種類 †

• オンライン攻撃
• オフライン攻撃

パスワードクラックの実行方法 †

• 推測による
• 辞書攻撃
• 総当たり
  • ブルートフォース攻撃 (総当たり攻撃)
  • リバースブルートフォース攻撃
  • パスワードスプレー攻撃
• レインボーテーブルを使う
• リスト型攻撃
• リプレイ攻撃

脆弱なパスワードの例 †

• パスワードがシンプル(複雑性がない)
  • 文字数が少ない
  • 文字種(数字、英子文字、英大文字、記号)が少ない
  • 同じ文字の連続("000000"など)

• パスワードの推測が容易
  • ユーザIDと同じ
  • 単語として意味がある("password"など)
  • 単語をleetしただけ("p@ssw0rd"など)
  • キー配列を使っている("qwertyyuiop"など)
  • ユーザに関連する情報(生年月日、あだ名、電話番号、ペットの名前など)を使っている
  • 機器の初期パスワードをそのまま使っている

• パスワードの流用
  • パスワードが漏洩したサービスで登録したパスワードを他のサービスでも使っている
  • パスワード以外の用途でも使っている

その他 †

• Press-the-Hash
  • Windowsを狙った攻撃
  • 一時的にメモリ上に保存されるパスワードから生成したハッシュ値を奪取して再利用する

関連サイト †

• JohnTheRipper
  https://www.openwall.com/john/

• hashcat
  https://github.com/hashcat/

関連用語 †

• パスワード
• クレデンシャルスタッフィング攻撃