TOPセキュリティ > 防御にこそ必要、パスワードクラックツールhashcat(後)...

セキュリティ

防御にこそ必要、パスワードクラックツールhashcat(後)

2020/06/18

J.M. Porup CSO

 「マスク攻撃では、人間の習性やパスワードのパターンを踏まえた攻撃を行う。今回のパスワードは、名前の後に年号という単純なパターンにのっとっている。また、マスク攻撃では、大文字が文字列の先頭に来る候補のみを試行するように設定できる。2文字目や3文字目のみに大文字が出るケースは極めてまれだ。結局のところ、マスク攻撃なら、鍵空間を52*26*26*26*26*10*10*10*10(237,627,520,000)通りの組み合わせまで減らすことができる。同じく100M/sの速さでクラッキングしても、こちらはわずか40分で完了する」

ルールベース攻撃

 ここまでに挙げた手軽な方法で解読できなかった場合で、対象のパスワードの組み立て方の当たりがつく時には、プログラミング言語のような構文でその組み立て方を指定するルールベースの攻撃も行える。

 hashcatのドキュメントには次のように説明がある。「ルールベース攻撃は、一連の攻撃モードの中でも特に複雑だ。理由は簡単で、ルールベース攻撃は、パスワードの候補を生成するためのプログラミング言語のようなものだからだ。単語の変更、抽出、拡張を行うための関数や、一部をスキップするための条件演算子などがある。その分、柔軟性、正確性、効率性は格段に優れている」

 hashcatの基本的な使い方はごく簡単に習得できるが、こうしたルールの構文をマスターするとなると、途端に難易度が上がる。

ブルートフォース攻撃

 ここまでの攻撃手法がどれも実を結ばなかった場合は、ブルートフォース攻撃に頼ることもできる。この世の終わりまでに解読できるかどうか分からないが、ダメ元でやってみれば、案外うまくいくかもしれない。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ