TOPセキュリティ > レインボーテーブルの仕組みと現在の役割は(後)

セキュリティ

レインボーテーブルの仕組みと現在の役割は(後)

2021/07/29

Michael Hill CSO

レインボーテーブルと現代のパスワードクラッキング手法の違い

 現代におけるパスワードクラッキングの脅威という観点で言うと、レインボーテーブルは基本的には過去の存在だ。その理由は、前述のソルトの普及で効果が薄れたことだけではない。かなり前から、制約の少ない強力な手法に取って代わられてきている。「最適化されたGPUベースのクラッキング方法に比べると、レインボーテーブルにはあまり価値がない。特定のパスワードハッシュやパスワードの種類に限定され、生成にも時間がかかる」とAumasson氏は説明する。

 レインボーテーブルを考案したOechslin氏も同意する。新たなパスワードクラッキング手法によって、レインボーテーブルはこの10年ほどでほぼ完全に脇に追いやられた。「極めて固有の事例を除けば、この手法は冗長だ。パスワードクラッキングの新たな手法としてGPUが取り入れられたことで、ハッシュのクラッキングにかかる時間は劇的に短縮された」

 パスワードクラッキングに関する事業を手がける米Terahashの創業者で最高経営責任者(CEO)のJeremi Gosney氏も同様の見解だ。「現代のパスワードクラッキングは非常に動的で、俊敏性、柔軟性、拡張性が求められる。レインボーテーブルは、静的かつ固定的で、拡張性は一切ない。現代のパスワードクラッキングとは正反対だ。GPUの処理能力がなかったとしても、現代的な手法を利用する方が、レインボーテーブルに比べて、得られる成果ははるかに大きい」。確率論的な候補生成、ハイブリッド攻撃、機械学習を利用した候補生成といった手法の方が、レインボーテーブルよりはるかに優れていると同氏は言う。

 現時点で、レインボーテーブルの用途として最もよく合うのは、教育やトレーニングでの利用かもしれない。大学の講義やセキュリティ関連資格では、現在もレインボーテーブルが取り上げられることが多いとMalik氏は言う。「パスワードのセキュリティに関して何を把握しておけばよいのか、全体像を押さえておくことは有益だ。また、長い年月の中でセキュリティがいかに進化したかを示すよい例になり、他の攻撃手段への対処法についても教訓が得られる」

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ