パスワードは「123……」でいいの？ 管理者が“少しずつ”変えるべきこと：破られ方は4つ（2/6 ページ）

[辻 伸弘（SBテクノロジー），ITmedia]

パスワードの破られ方

　パスワードの破られ方を今回は4つに分けて説明していきます。

　先に4つを挙げておくと、（1）総当たり（ブルートフォース）攻撃、（2）辞書（ディクショナリ）攻撃、（3）総当たりと辞書の逆パターン（リバースブルートフォースなど）、（4）リスト型攻撃です。それでは1つずつ紹介していきます。

（1）総当たり（ブルートフォース）攻撃

　ブルート（brute）はあまり聞きなれないかもしれませんが、「野蛮な、強引な、力任せな」といった意味で、力任せに全部試す攻撃です。例えば南京錠みたいな形のものや扉でもありますが、数字が4桁なら0000から9999までの1万通りを試せばいつかは破れるだろうというものです。

　これは、パスワードの鉄則1つめの「短い文字列を使わないこと」と対応しています。最近のシステムでは、何回か試すと一定時間ログインできなくなるものがありますが、長い時間をかければいつかは破られてしまう恐れがあります。短ければ短いほど破られやすく、仮に1ケタなら10回試せば破れてしまいます。

（2）辞書（ディクショナリ）攻撃

　辞書というのは、よくパスワードに使われるさまざまな文字列が登録されたテキストファイルで、そこに書かれた文字列を順番に試していく攻撃です。辞書には、多くの人が付けてしまいがちな文字列が登録されています。例えば、8文字しか使えないシステムの場合は、passwordや12345678、キーボードの横並びの文字列を使ったasdfqwer、その他に縦や斜めのパターンなどもあります。

　人名、地名、文字の置き換え表現（アルファベットの「Ｔ」を数字の「７」や、「Ａ」を「＠」など）もあります。ほかにはセキュリティベンダーから発表される、最も多く使われたパスワードランキングの上位の文字列です（パナマのセキュリティ企業であるNord Securityが発表する「世界で最も利用されたパスワードTop200」など）。それだけ多く利用されているなら、それを使えば破れるんじゃないか、ということです。

　これは、パスワードの鉄則の2つめの「推測可能な文字列を使用しない」と対応しています。自分が思い付くものは他人（攻撃者）も思い付くということです。