TOPセキュリティ > 防御にこそ必要、パスワードクラックツールhashcat(後)...

セキュリティ

防御にこそ必要、パスワードクラックツールhashcat(後)

2020/06/18

J.M. Porup CSO

 hashcatは、パスワードクラッキングのための強力なツールだ。ペネトレーションテスターやシステム管理者にも、犯罪者やスパイにも、広く愛用されている。

前回から続く)

マスク攻撃

Credit: Photodisc / Metamorworks / Getty Images

 特定の形式のパスワードを使う人も多い。例えば、古いパスワードでは、先頭が大文字で、6文字の小文字が続き、末尾は数字1つという形式のものがよく見られた。「Bananas1」のようなパスワードだ。あらゆる文字列をしらみつぶしで探らなくても、こうした形式のパスワードのみを候補とするよう指定すれば、試行の数を大幅に減らすことができる(実際にその形式で正解にたどり着けるとすればだが)。

 hashcatのドキュメントでは、一般にマスク攻撃がブルートフォース攻撃よりも桁違いに高速な理由について、「Julia1984」というパスワードをクラッキングする場合を例に挙げて、次のように説明している。

 「オーソドックスなブルートフォース攻撃の場合、すべての大文字、小文字、数字で構成された文字セット(mixalpha-numeric)が対象となる。パスワードが9文字なら、62^9(13,537,086,546,263,552)通りの組み合わせを順に調べていくことになる。これを100M/sの速さで行うとしたら、4年以上かかる」

↑ページ先頭へ