第7回 パスワードクラック
要するにパスワードをほじくり出すってことですな。
例えば銀行のカード。
最近盛んに生年月日を使うなとゆうとるけど、これもクラックされやすいから。
それらしいパスワードを予測して、いくつか試してパスワードを当てる。
人間がやるんなら大体この手法でしょう。(推測によるクラック)
ということで、銀行カードの暗証番号探りも立派なパスワードクラック。
辞書ファイルを使ったクラック
辞書はまさに辞書。
一般的な単語を片っ端から試して回る。
大抵のシステムは、1~数回連続してログイン失敗すると、
一旦セッションを切られるか、しばらく黙って待たされる。(プロンプトが出てこない。)
さらにちゃんとしたシステムなら、そのユーザをロックする。
つまり、ログイン不能にする。
ログイン可能に戻すには、システム管理者がなんとかせねばならん。
まあ、そもそも外部からアクセスさせるのが悪い。
この本(翔泳社)には、通常はオフライン攻撃でこの手法が使われるとあるが...
オフライン攻撃するにはパスワードの載ったファイルがないとできないんだけど。
今のunix系システムはほとんどshadowファイル使ってるし。
このファイルはrootしか読めないし。
このファイルをゲットできるということは、それはrootユーザということだ。
...ならもういらんじゃん。パスワード。
この本によると、別にOSだけでなくそのほかのシステムも対象らしいので、
まあ、あるか。タコな手作りシステムとか。
特にWeb系はセキュリティホールが山ほど。
総攻撃によるパスワードクラック。
全ての文字を順に並べて行って、クラックする方法。
地道だの。かなり地道だ。
パスワードクラックで思い出したけど、携帯メール向けのスパム。
短いアドレスや日本人にありがちな名前などを使ってると、
あっさり見つけられてスパム送られる。
最近は携帯会社側の対応もあって随分減ったみたいだけど。
これも立派なパスワードクラック...の一種。
総当たりと辞書攻撃を併用していたものと思われる。(まあふつうだな。)
で、これに対する対応ですが、最近銀行がやってるのがまさにそれです。
一つは生体認証。
指紋とか、静脈とか。虹彩(瞳)もそれ。
もう一つは、ワンタイムパスワード。
パスワードがころころ変われば、クラックも意味がない。
まあ、そもそも10000通りしか作れない数字四桁の暗証番号ってのがかなりタコだが。
要するにパスワードをほじくり出すってことですな。
例えば銀行のカード。
最近盛んに生年月日を使うなとゆうとるけど、これもクラックされやすいから。
それらしいパスワードを予測して、いくつか試してパスワードを当てる。
人間がやるんなら大体この手法でしょう。(推測によるクラック)
ということで、銀行カードの暗証番号探りも立派なパスワードクラック。
辞書ファイルを使ったクラック
辞書はまさに辞書。
一般的な単語を片っ端から試して回る。
大抵のシステムは、1~数回連続してログイン失敗すると、
一旦セッションを切られるか、しばらく黙って待たされる。(プロンプトが出てこない。)
さらにちゃんとしたシステムなら、そのユーザをロックする。
つまり、ログイン不能にする。
ログイン可能に戻すには、システム管理者がなんとかせねばならん。
まあ、そもそも外部からアクセスさせるのが悪い。
この本(翔泳社)には、通常はオフライン攻撃でこの手法が使われるとあるが...
オフライン攻撃するにはパスワードの載ったファイルがないとできないんだけど。
今のunix系システムはほとんどshadowファイル使ってるし。
このファイルはrootしか読めないし。
このファイルをゲットできるということは、それはrootユーザということだ。
...ならもういらんじゃん。パスワード。
この本によると、別にOSだけでなくそのほかのシステムも対象らしいので、
まあ、あるか。タコな手作りシステムとか。
特にWeb系はセキュリティホールが山ほど。
総攻撃によるパスワードクラック。
全ての文字を順に並べて行って、クラックする方法。
地道だの。かなり地道だ。
パスワードクラックで思い出したけど、携帯メール向けのスパム。
短いアドレスや日本人にありがちな名前などを使ってると、
あっさり見つけられてスパム送られる。
最近は携帯会社側の対応もあって随分減ったみたいだけど。
これも立派なパスワードクラック...の一種。
総当たりと辞書攻撃を併用していたものと思われる。(まあふつうだな。)
で、これに対する対応ですが、最近銀行がやってるのがまさにそれです。
一つは生体認証。
指紋とか、静脈とか。虹彩(瞳)もそれ。
もう一つは、ワンタイムパスワード。
パスワードがころころ変われば、クラックも意味がない。
まあ、そもそも10000通りしか作れない数字四桁の暗証番号ってのがかなりタコだが。