パスワードに対する辞書攻撃

パスワードに対する辞書攻撃

辞書に載っている単語をパスワードの文中に使わないようにという一般的なアドバイスに疑問を感じています。たとえば、「My name is Sue!」をパスワードに使うなどです。私がホストして管理している Web サイトでは、その文字列を正確に入力しないとアクセスできません。クラッキング ソフトウェアで使用されている辞書を調べましたが、驚くほど多くの単語が集められています。すべての書き言葉で、そこに載っていない単語を探すのはすぐに諦めました。オランダ語の罵り言葉を使うのは、パスワードとしては最悪です。しかし、そこにフレーズは入っていませんし、仮にあったとしても、膨大な数のフレーズとその組み合わせは、単に別の形のブルート フォース攻撃になってしまうのではないでしょうか。

では、パスフレーズの文中で辞書に載っている単語を使用しないようにアドバイスされるのはなぜでしょうか?

(soap box) パスフレーズの使用をアドバイスするのではなく、ますます複雑で覚えるのが不可能なパスワードを要求することで、IT 部門はユーザーに不利益を与えていると思います。なぜ私が間違った考えを持っているのか、一般的なアドバイスに戻るべきなのか、理由のある答えを求めています。(/soap box)

答え1

パスワードを比較していますパスフレーズ. パスフレーズ一般的に優れているとみなされる一般的なフレーズを使用しない限りは。

答え2

'Ernie' がすでに述べたように、パスワードとパスフレーズを比較しています。辞書に載っている単語を使用しないようにするというアドバイスは確かです。しかし、辞書に載っている単語の組み合わせとしてパスフレーズを使用することは、覚えやすいパスワード/フレーズを作ろうとする他のトリックと同様に、危険性が「1 段階」軽減されるだけです。

今日では、攻撃者があなたのパスワード(フレーズ)の暗号化バージョンを持っている場合、通常の辞書攻撃を行うだけでは済まない。ハッカーは、トリックリート語、単語の連結、数字の追加など)。

詳細情報Security Now エピソード 366「パスワード クラッキングの最新情報: 「Clever」の終焉」(またはそれを読むトランスクリプト)。

次のような優れたパスワードジェネレータを使用することをお勧めします。ラストパス(Security Nowエピソード256でも詳しく取り上げられています)ランダムなパスワードを生成するために人間は不器用です(それを生成するまたはそれを検出する

本当に覚えやすいパスワードが欲しい場合は、パスワードヘイスタックテクニック覚えにくいランダムな組み合わせの代わりとして、ここでは、最大エントロピー (D0g!) を含む短い文字列に繰り返し文字列 (123 123 123) を追加します。

どのような方法を選択しても、パスワードは12文字以上にしてください。 全て8文字のパスワードは13時間で解読可能12,000ドルかかる自作マシン(主にGPU用)

答え3

パスワードをブルートフォース攻撃するのがどれほど難しいかは、少なくとも 2 つの変数によって決まります。

  • パスワードの長さ。
  • 許可されるパスワード文字。

1つ目は明らかです。文字だけ(小文字26文字+大文字26文字)に限定すると、

  1. 1 文字のパスワードは最大 52 回の試行で推測できます。
  2. 2文字のパスワードは最大2704回(52×52)で推測できます。
  3. 3文字のパスワードは最大140608回(52×52×52)の試行で推測できます。

ご覧のとおり、組み合わせの数は急速に増加します。したがって、パスワードが長くなるほど、ブルートフォース攻撃は難しくなります。IT 部門は長いパスワードを推奨すべきです。

しかし、古いアプリケーションの多くは、8文字までのパスワードしか受け付けません。これでは、セキュリティ上、短すぎます。8文字に制限されている場合、またはユーザーが長いパスワードを使用しないことがわかっている場合は、パスワードをブルートフォース攻撃で破りにくくする別の方法があります。パスワードに文字だけでなく、より多くの入力セットを使用するようにします。数字を追加します。キーボード上の奇妙なもの

これは良い解決策ではありません。これは平均的なユーザーや古いシステムに対する回避策です。次のようなパスワードはバッテリーホースステープル(長さ 18) は、短くて複雑なパスワードのほとんどよりも解読がはるかに困難です。ただし、ほとんどの人はそれを入力するのが面倒です。

私が一貫してこの用語を使っていたことにお気づきかもしれませんパスワードを総当たり攻撃するそしてそうではないパスワードを解読するこれは、パスワードを発見する方法が他にもあるためです。たとえば、推測することもできます。

辞書は推測すべき単語の大きなリストに過ぎず、パスワードクラッキングプログラムは辞書内の単語のバリエーションを試すほど賢いです。

このため、このような辞書の単語はパスワードにもパスフレーズにも適していません。

関連情報