パスワードの安全性

パスワードの推定

パスワードの安全性を評価するために,パスワードの文字数とパスワードが推定される確率を計算する.

パスワードに対する攻撃

パスワードに対する攻撃方法は,大きく分けて次の3つである.

  1. Bruteforce attack(総当たり解析)
    文字の組み合わせを総当たりで試みる.時間さえあれば確実にパスワードが解析される.
    総当たり探索を高速化する手法として,すべてのパスワードに対するハッシュ値をあらかじめ求めておき,ハッシュ値からパスワードを引けるように並べた逆引き表を作る方法がある.(→ レインボーテーブル攻撃)
  2. Dictionary attack(辞書解析)
    英和辞書などに掲載されている単語の他,人名,地名やよく使われるユーザ名などを格納した辞書を用いて攻撃する.一般に,総当り解析よりはより効率的に解析ができる.
  3. 盗聴
    • メモの盗み見
    • ショルダ・ハッキング
    • ソーシャル・エンジニアリング(騙して聞き出す)
    • キーロガー
    • オートコンプリート(APがパスワードを保持,入力時に自動設定)
    • バックアップデータの盗難
    • 破棄パソコンがら取得
    • ネットワーク盗聴

パスワード攻撃に対する安全性は,ユーザがパスワードを変更するまでの期間と攻撃者がどれ位の頻度でパスワードを試すことができるかに関係している.また,システムのパスワード攻撃に対する対策方法にも関係している. (→ パスワード攻撃への対応)

ある種のモニタリングを仮定すれば,長期間連続的に攻撃するのは難しいと言える.実際,ログファイルが定期的にチェックされれば,攻撃に気づかれる.攻撃に気づけばパスワードを変更するなどの対策が採られ,攻撃は難しくなる. また,オンラインシステムでは,パスワード投入エラーが何回か続けば,パスワードがロックされそれ以上投入できなくなる.

Lockdown.co.ukが2009年に行った試算として,パスワードの文字数とどれ位の期間で破られるかの試算が パスワードの安全性 に示されている.

パスワードに対する安全性を抜本的に高めるには, ワンタイムパスワード を用いることが有効である.

inserted by FC2 system