あなたのパスワードは大丈夫?特定されやすいパスワード、特定方法

そのパスワード解析、1秒もかからないかもしれません。

とある調査では、「アルファベットの大文字・小文字、数字、記号」の組み合わせによる4桁のパスワードは1秒以下で破られることが分かっています。

自分は大丈夫と思っている方、クラッカーはそんな、ユーザーの詰めの甘さに漬け込むのです。


特定されやすいパスワードと、されにくいパスワード

特定されやすいパスワードとは

単純な単語

 パスワードを決めるとき身の回りにあるものをそのままパスワードにしていませんか?クラッカーはユーザーが使いそうな単語を総当たりで試します(辞書攻撃)。

誕生日

これは、もしあなたが誰かのロックを解除しようとしたとき、まず相手の誕生日を試しますよね?それと同じで、クラッカーもどこからか、ターゲットの誕生日を入手し試します。

別のサイトと同じパスワード

パスワードの使いまわしです。クラッカーはたいてい、どこかのサイトでパスワードを探り当てたら同じIDで別のサイトのログインを試みます。そしてこれは高確率で成功します。というのも、ある調査では”サービスごとに異なるパスワードを設定しているという人は全体の32.4%しかいなかった”というデータがあります。

8桁以下のパスワード

冒頭の話でも出てきましたが、4桁で1秒以下でした。同じ調査で、「大文字・小文字、数字、記号」組み合わせの8桁のパスワードを解析する時間は14日だったそうです。14日なら大丈夫じゃん、と思うかもしれませんが、本気になったら待てないこともありませんよね。ちなみに10桁だと341年だそうです。これなら待ってる間に寿命が来ます。

ユーザー名と同じパスワード

ジョーアカウントといって、ユーザー名と同じ文字列をパスワードとして使う人がいます。そんなジョーアカウントはクラッカーにとっては絶好のカモですね。

恋人や友人の名前、出身地、誕生日、車のナンバー

自分の誕生日や名前にすると分かりやすすぎるだろう、っていう人は自分の恋人、友人、また家族といった別の人の誕生日、名前をパスワードにするのではないでしょうか?実はそれも分かりやすすぎます。

 

 

特定されにくいパスワードとは

複数の単語を組み合わせたパスワード

実際には存在しない単語を作ってしまえば辞書攻撃にひっかかってしまう可能性は低くなります。

語呂合わせのパスワード

単語をそのまま使うとダメなので、その単語を無理やりでもいいので語呂合わせにします。そうすれば予測されにくくなります。

10桁以上のパスワード

冒頭の話でも出てきましたが、4桁で1秒以下でした。同じ調査で、「大文字・小文字、数字、記号」組み合わせの10桁のパスワードを解析する時間は341年だったそうです。これならまだ安心できます。

単語ではない意味不明な文字列

推測されないようにするにはこれが一番でしょう。意味不明なので推測しようがありません。

フィッシングを警戒する

フィッシングというのは

信頼された会員制ウェブサイトや有名企業を装って偽のウェブサイトに誘導し、ID、パスワードを入力させ、ID、パスワードを盗む

という手口です。詳しい説明は後ほどでてきます。

そこまでとばしたい方はこちら

特定方法

クラッカーは様々な方法であなたのパスワードを破ろうとしてきます。

では実際の手口としてどんなものがあるのでしょうか。

 

総当たり攻撃(ブルートフォースアタック)

考えられるすべてのパスワードの組み合わせを試すというものです。パスワードの桁が4桁などと少ないとこの方法で簡単に破られてしまいます。

対策:

  • パスワードの桁を増やす

しかしこれは、一定回数以上間違えたらロックされるというような仕組みがあれば、問題はないでしょう。しかし次のような場合だとどうでしょう。

 

逆総当たり攻撃(リバースブルートフォースアタック)

これは総当たり攻撃とは反対にパスワードは固定して、IDを総当たりするという方法です。この場合一定回数以上間違えたらロックされる仕様があっても入られてしまいます。よく使われるようなパスワードを設定しているとかかってしまいます。

対策:

  • パスワードの桁を増やす
  • 単純な単語にしない

 

類推攻撃

ターゲットの個人情報や、友人関係を何らかの方法で入手し、そこからパスワードを類推するという方法です。自分、恋人、友人、家族の名前、誕生日、出身地、車のナンバーなどすべて調べ上げ、攻撃をかけるのです。

また40年にわたり繰り返し行われた調査で、”ユーザーが選ぶパスワードの40%は、辞書や場合によっては個人情報も使って実行される洗練されたクラッキングソフトの前では、たちまちわかってしまう”ということが分かっています。

対策:

  • ランダムに選ばれた、意味不明な文字列を使う
  • 友人等の名前や誕生日でもパスワードに使わない
  • 語呂合わせで、単語をそのまま使わない

 

辞書攻撃

人名、地名などパスワードに使われやすい単語を辞書化して総攻撃かけるというもの。

対策:

  • ランダムに選ばれた、意味不明な文字列を使う
  • 語呂合わせで、単語をそのまま使わない

 

パスワードリスト攻撃

パスワードの使いまわしを狙った手口です。先ほども書きましたが

ある調査では”サービスごとに異なるパスワードを設定しているという人は全体の32.4%しかいなかった”というデータがあります。

クラッカーはどこかのサ―ビスでログインに成功すると、まずこの方法をためします。

対策:

  • パスワードを使いまわさない

 

フィッシング

これは注意が必要です。十分、厳重なパスワードにしていても、パスワードがばれてしまうことがあります。どのような手口かというと、

信頼された会員制ウェブサイトや有名企業を装って偽のウェブサイトに誘導し、ID、パスワードを入力させ、ID、パスワードを盗む

という手口です。

「ユーザーアカウントの有効期限が近づいています」

「新規サービスへ移行のため、登録内容の再入力をお願いします。」

といったような、メールが届きます。そして、偽のウェブサイトにとばされ、ID、パスワードを入力してしまうと情報を盗まれてしまいます。

対策:

  • このようなメールが届いたら、まず、本物かどうか確認する

 

 まとめ

 いかがでしたでしょうか。パスワードは意外と簡単に破られてしまいます。パスワードを破られないためには、日ごろから、パスワードを強くしておくことが重要です。冒頭でも書きましたが、自分だけは大丈夫といわずパスワード管理はしっかりしておきましょう。

 

 

 

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です