解説動画
パスワードが秒で解析される!?
zipファイルにパスワードを設定する際、以下のようなものに設定していませんか?
・自分の誕生日と同じパスワード
・8文字未満の短いパスワード
・辞書に載っているパスワード
※これらが設定されている場合、攻撃者は一瞬でパスワードを割り出すことができます
※長いパスワード(16文字以上)、かつ、辞書にない推測されないパスワードに設定することが推奨されます
攻撃者の目的
・zipファイルの中にある機密情報を取得する
・割り出したパスワードを悪用し、他の各種サービスでもログインを試行し、なりすましに利用する
攻撃者の手口
(1)zipファイルを入手する
なんらかの方法でzipファイルを入手する。
※メールの盗聴、誤送信されたファイル、ファイルサーバやクラウドサービスの設定不備によりファイルを入手します
(2)辞書攻撃
一般的に利用されるようなパスワード、辞書に載っているようなパスワードの一覧を用意し、その一覧をひとつひとつログイン試行していくことで、ログイン可能かを確認していきます。
※覚えやすい単語等にしていると瞬時に割り出されてしまいます
(3)リスト型攻撃
闇市場(ブラックマーケット)等で入手したあるサービスのユーザのIDとパスワードのセット(リスト)を利用し、当該サービスでもログイン可能かを確認していきます。
※情報漏えいしたパスワードを他のサービスでも使いまわしていると瞬時に割り出されてしまいます
(4)総当たり攻撃
文字種(大文字・小文字・数字・記号)と長さの組み合わせをすべて試していき、ログイン可能かを確認していきます。
※短い文字にしていると瞬時に割り出されてしまいます
Webサービスのクラッキングとは違い、ローカルでのパスワード解析が可能であるため、解析端末の性能が高ければ高いほど、解析時間が短縮されパスワードを解析される危険性が高いです。
私たちができる対策
(1)まず手口を知る
手口を知ることでパスワードを設定する際に強固にすることができます。
(2)パスワードは長く推測しにくいものに設定する
パスワードは長ければ長いほど、攻撃者は解析に時間を要します。
どれだけ攻撃者に解析の時間を取らせることで解析を断念させることが大事です。
以上を参考に、パスワードを設定する際は強固なものにしましょう!
本記事の初コメント投稿者になろう