パスワードクラッカーのオフライン攻撃手法と対策
パスワードをなぜ長いものにするかということについて
その理由と、攻撃手法についてかいてみました
まず、パスワードクラックしてくる場合
1、ユーザのパスワード情報
(パスワードハッシュ、ネットワーク認証のレスポンス)を取得
2、パスワード候補を1つ選び、
パスワードハッシュやレスポンスを
その生成レスポンスを真似て生成
3、取得済みハッシュやレスポンスの値と
パスワード情報から生成した値と比較し一致するまで繰り返す
という手順で行われます
これが、辞書攻撃やプルートフォースアタック
プルートフォース攻撃は
確実にパスワードを突破できる可能性が高いが
設定できるパスワード長やパスワードに使える文字種の多様性により
クラック時間がかわる
パスワード長が長い場合、現実的な時間で完了しない
これが長いパスワードを使いましょうという理由
パスワードが短いとその分解析されるリスクがあがるので注意!
というわけです
その理由と、攻撃手法についてかいてみました
まず、パスワードクラックしてくる場合
1、ユーザのパスワード情報
(パスワードハッシュ、ネットワーク認証のレスポンス)を取得
2、パスワード候補を1つ選び、
パスワードハッシュやレスポンスを
その生成レスポンスを真似て生成
3、取得済みハッシュやレスポンスの値と
パスワード情報から生成した値と比較し一致するまで繰り返す
という手順で行われます
これが、辞書攻撃やプルートフォースアタック
プルートフォース攻撃は
確実にパスワードを突破できる可能性が高いが
設定できるパスワード長やパスワードに使える文字種の多様性により
クラック時間がかわる
パスワード長が長い場合、現実的な時間で完了しない
これが長いパスワードを使いましょうという理由
パスワードが短いとその分解析されるリスクがあがるので注意!
というわけです
スポンサーサイト
