Technote

技術ノート ウェブ パスワード辞書攻撃から守る方法

パスワード辞書攻撃から守る方法

in
パスワード辞書攻撃から守る方法

重要なポイント

  • 辞書攻撃は一般的なタイプのサイバー攻撃で、単語の長いリストとソフトウェアを使用してパスワードを照合し、アカウントにアクセスしようとします。
  • 文字のランダムな組み合わせを試みるブルート フォース攻撃は、辞書攻撃に比べて効率が低く、時間がかかります。
  • 堅牢で固有のパスワードを使用し、多要素認証を有効にし、辞書攻撃から保護するためにパスワード マネージャーの使用を検討することが重要です。

辞書攻撃は、ネットワークとプラットフォームのセキュリティを脅かします。彼らは、一致するパスワードを生成してユーザー アカウントを侵害しようとします。それらがどのように機能するのか、そしてそれらを倒す方法を学びましょう。

この の記事は、 と連携して提供されています

辞書攻撃とは何ですか?

辞書攻撃は、共通の攻撃手法を共有するサイバー攻撃の一種です。彼らは単語とソフトウェアの長いリスト (場合によってはデータベース全体) を使用します。ソフトウェアはリストから各単語を順番に読み取り、それを攻撃対象のアカウントのパスワードとして使用しようとします。リスト内の単語の 1 つが本物のパスワードと一致すると、アカウントは危険にさらされます。

これらの攻撃は、より原始的なブルート フォース タイプの攻撃とは異なります。ブルートフォース攻撃は、幸運があればパスワードを偶然見つけられることを期待して、文字と文字のランダムな組み合わせを試みます。これらの攻撃は非効率的です。これらは時間がかかり、計算量が多くなります。

パスワードに文字を追加するたびに、パスワードを解読するために必要な労力は大幅に増加します。 8 文字のパスワードには、5 文字のパスワードよりも桁違いに多くの組み合わせがあります。ブルートフォース攻撃が成功するという保証はありません。しかし、辞書攻撃では、リスト内のエントリの 1 つがパスワードと一致すると、最終的に攻撃は成功します。

もちろん、ほとんどの企業ネットワークでは、アクセス試行が一定回数失敗すると、自動アカウント ロックアウトが強制されます。ただし、多くの場合、攻撃者は企業 Web サイトから開始しますが、多くの場合、アクセス試行に対する制御はそれほど厳しくありません。そして、Web サイトにアクセスできるようになると、企業ネットワーク上でその資格情報を試すことができます。ユーザーが同じパスワードを再使用した場合、脅威アクターは企業ネットワーク内に侵入していることになります。ほとんどの場合、Web サイトやポータルは本当のターゲットではありません。これは、脅威アクターの実際の目標である企業ネットワークに向かう途中の中継ポストです。

攻撃者が Web サイトにアクセスすると、ログイン試行を監視し、ユーザー ID とパスワードを記録する悪意のあるコードを挿入することができます。情報を攻撃者に送信するか、攻撃者が情報を収集するためにサイトに戻るまでログに記録します。

パスワード辞書攻撃から守る方法

ファイル内の単語だけではありません

初期の辞書攻撃はまさにそれでした。彼らは辞書の言葉を使いました。これが、強力なパスワードを選択するためのガイダンスの一部に「辞書の単語を決して使用しない」という理由です。

このアドバイスを無視して、とにかく辞書の単語を選択し、それに数字を追加して辞書の単語と一致しないようにするのは、同様に不適切です。辞書攻撃ソフトウェアを作成した攻撃者は、この点について賢明です。彼らは、リストの各単語を何度も試す新しい手法を開発しました。試行するたびに、単語の末尾にいくつかの数字が追加されます。これは、パスワードを変更するたびに、単語を使用して 1、次に 2 などの数字を追加することがよくあるためです。

年を表すために 2 桁または 4 桁の数字を追加する場合もあります。それは、誕生日、記念日、チームがカップを獲得した年、またはその他の重要なイベントを表す場合があります。人々は自分の子供や大切な人の名前をパスワードとして使用するため、辞書のリストは男性と女性の名前を含むように拡張されました。

そしてソフトウェアは再び進化しました。 「i」を 1、「e」を 3、「s」を 5 などのように、文字を数字に置き換えるスキームでは、パスワードが大幅に複雑になることはありません。ソフトウェアは規則を認識しており、それらの組み合わせでも動作します。

現在、これらのテクニックはすべて、標準的な辞書の単語を保持していない他のリストとともに依然として使用されています。これらには実際のパスワードが含まれています。

パスワード辞書攻撃から守る方法

パスワードのリストの出所

有名な Have I Been Pwned Web サイトには、100 億を超える侵害されたアカウントの検索可能なコレクションが保存されています。データ侵害が発生するたびに、サイトの管理者はデータの取得を試みます。それを取得できた場合は、データベースに追加します。

メールアドレスデータベースを自由に検索できます。データベース内であなたの電子メール アドレスが見つかった場合は、どのデータ侵害によってあなたの情報が漏洩したかがわかります。たとえば、古い電子メール アドレスの 1 つが Have I Been Pwned データベースで見つかりました。この情報は、2016 年の LinkedIn Web サイトの侵害で流出しました。つまり、そのサイトのパスワードも侵害された可能性があります。しかし、私のパスワードはすべて一意であるため、その 1 つのサイトのパスワードを変更するだけで済みました。

Have I Been Pwned には、パスワード用の別のデータベースがあります。明らかな理由により、Have I Been Pwned サイトでは電子メール アドレスとパスワードを照合することはできません。パスワードを検索してリストに見つかったとしても、そのパスワードが自分のアカウントのいずれかから取得されたものであるとは限りません。 100 億のアカウントが侵害されているため、重複したエントリが存在することになります。興味深いのは、そのパスワードがどれほど人気が​​あるかを知ることです。自分のパスワードは一意だと思いましたか?おそらくそうではありません。

しかし、データベース内のパスワードがあなたのアカウントの 1 つからのものであるかどうかに関係なく、それが Have I Been Pwned Web サイトにある場合、それは脅威アクターの攻撃ソフトウェアによって使用されるパスワード リストになります。パスワードがどれほど難解でわかりにくいかは関係ありません。パスワード リストにある場合は信頼できませんので、すぐに変更してください。

パスワード辞書攻撃から守る方法

パスワード推測攻撃のバリエーション

辞書攻撃のような比較的低俗な攻撃であっても、攻撃者は簡単な調査を利用してソフトウェアの作業を容易にすることができます。

たとえば、攻撃したいサイトにサインアップまたは部分的にサインアップする可能性があります。その後、そのサイトのパスワードの複雑さのルールを確認できるようになります。最小長が 8 文字の場合、ソフトウェアは 8 文字の文字列で開始するように設定できます。 4 文字、5 文字、6 文字、および 7 文字の文字列をすべてテストしても意味がありません。許可されていない文字がある場合は、ソフトウェアが使用できる「アルファベット」から削除できます。

ここでは、さまざまな種類のリストベースの攻撃について簡単に説明します。

  • 従来のブルートフォース攻撃 : 実際には、これはリストベースの攻撃ではありません。専用の専用ソフトウェア パッケージは、文字、数字、および句読点や記号などのその他の文字のすべての組み合わせを、徐々に長くなる文字列として生成します。それぞれを攻撃対象のアカウントのパスワードとして試します。攻撃を受けているアカウントのパスワードと一致する文字の組み合わせが生成された場合、そのアカウントは侵害されます。
  • 辞書攻撃 : 専用の専用ソフトウェア パッケージが、辞書の単語リストから一度に 1 単語ずつ取り出し、攻撃対象のアカウントに対するパスワードとして試行します。辞書の単語に数字を追加したり、文字を数字に置き換えたりする変換を適用できます。
  • パスワード検索攻撃 : 辞書攻撃に似ていますが、単語リストには実際のパスワードが含まれています。自動化されたソフトウェアは、データ侵害から収集された膨大なパスワードのリストから一度にパスワードを読み取ります。
  • インテリジェントなパスワード検索攻撃 : パスワード攻撃と似ていますが、「裸の」パスワードと同様に各パスワードの変換も試行されます。この変換では、数字を母音に置き換えるなど、一般的に使用されるパスワードのトリックをエミュレートします。
  • API 攻撃 : これらの攻撃は、ユーザーのアカウントをクラッキングしようとするのではなく、ソフトウェアを使用して、アプリケーション プログラミング インターフェイスのユーザーのキーと一致することを期待する文字列を生成します。 API にアクセスできれば、それを悪用して機密情報や知的著作権を盗み出すことができる可能性があります。
パスワード辞書攻撃から守る方法

パスワードについて

パスワードは堅牢かつ一意であり、子供の名前など、ユーザーに関して発見または推定される可能性のあるものとは無関係である必要があります。パスフレーズはパスワードよりも優れています。無関係な 3 つの単語を句読点で結合すると、パスワードの非常に強力なテンプレートになります。直観に反しますが、パスフレーズには一般に辞書の単語が使用されており、パスワードには辞書の単語を使用しないようにと常に警告されてきました。しかし、このようにそれらを組み合わせると、攻撃ソフトウェアにとって解決するのが非常に困難な問題が生じます。

How Secure Is my Password Web サイトを使用して、パスワードの強度をテストできます。

  • Cloudsavvyit : クラックまでの推定時間: 3 週間。
  • cl0uds4vvy1t : クラックまでの推定時間: 3 年。
  • サーティ・フェザー・ガーダー : 解読までの推定時間: 41 京年!

そして黄金律を忘れないでください。パスワードは 1 つのシステムまたは Web サイトでのみ使用してください。決して複数の場所で使用してはなりません。複数のシステムでパスワードを使用し、そのうちの 1 つが侵害された場合、パスワードは攻撃者の手に渡り、そのパスワード リストに登録されるため、そのパスワードを使用したすべてのサイトとシステムが危険にさらされます。 。あなたのパスワードが解読されるのに 41 京年かかるかどうかは関係なく、パスワード リストにそのパスワードが含まれていれば、解読にかかる時間はまったく関係ありません。

パスワードが多すぎて覚えられない場合は、 パスワード マネージャーを使用してください

パスワード辞書攻撃から守る方法

ブルートフォース攻撃から守る方法

多層的な防御戦略が常に最善です。単一の防御手段だけで辞書攻撃を免れることはできませんが、相互に補完し、辞書攻撃の影響を受けるリスクを大幅に軽減する考慮できる手段は数多くあります。

  • 可能な場合は 多要素認証 を有効にします 。これにより、ユーザーが所有する物理的なもの (携帯電話、USB キーやフォブなど) が方程式に組み込まれます。電話機のアプリに送信される情報、またはフォブまたは USB キー内の情報は、認証プロセスに組み込まれます。ユーザー ID とパスワードだけでは、システムにアクセスするには不十分です。
  • 一意であり、暗号化された形式で安全に保存される 堅牢なパスワードとパスフレーズを使用してください
  • パスワードの使用、保護、および許容される形式を管理する パスワード ポリシーを作成して展開します 。全職員に導入し、義務化します。
  • ログイン試行回数を少ない回数に制限します 。失敗した試行回数に達したときにアカウントをロックするか、アカウントをロックしてパスワードの変更を強制します。
  • キャプチャまたはその他の二次的な画像ベースの認証手順を有効にします 。これらは、人間が画像を解釈する必要があるため、ボットやパスワード ソフトウェアを停止することを目的としています。
  • パスワード マネージャーの使用を検討してください 。パスワード マネージャーを使用すると、複雑なパスワードを生成できます。どのパスワードがどのアカウントに対応するかを記憶するので、ユーザーが記憶する必要はありません。パスワード マネージャーは、追跡する必要があるすべてのアカウントに対して、鉄製の一意のパスワードを作成する最も簡単な方法です。

「パスワード辞書攻撃から守る方法」に関するベスト動画選定!

総当たり攻撃と辞書攻撃をHashcatを使ってパスワード解析をする
【Webのログイン認証の突破方法!】不正ログインの恐怖… hydraを使ったパスワードクラッキングの基本と攻撃手法解説! ハッキング・ラボ完全版でも使用されるツール! No.117

新着記事