少しでも分かりやすく伝えたいブルートフォースアタック
皆さんこんにちは!!
今回はブルートフォースアタックについて説明していきたいと思います!
ブルートフォースアタックとは
ブルートフォースアタック(Brute Force Attack)とは日本語で総当たり攻撃とも呼ばれ、その言葉の通り、片っ端からパスワードを入力していくことでパスワードを解析してしまう方法です。
パスワード設定でやってはいけないこと
ブルートフォースアタックと切っても切り離せないパスワード設定についても説明していきます。パスワードが単調なものだとその分ブルートフォースアタックによってパスワードがばれてしまうリスクも高まるためです。
やってはいけないことを説明する前に
NordPassは、漏洩したパスワードの中で特に多かったパスワードをランキングにして公開しています。このランキングの上位に当てはまる共通点について説明していきます。
1位から5位までをピックアップしてみました。(2020年度のデータ)
1位から5位までのパスワードの当てはまる共通点として、文字の種類が少なかったり単語であるという共通点があります。
文字の種類が少ないという事をもっと具体的に説明すると、「数字のみ」だったり「英子文字のみ」といったことが挙げられます。何故これがいけないのかという話ですが、ブルートフォースアタックは最初に説明した通り片っ端からパスワードをあてはめることでパスワードを見つける方法です。パターン数が少ない方が当然パスワードも早く解析されてしまいます。
これが数字5桁のパスワードと、数字と英語(大・小文字区別なし)が組み合わされた5桁のパスワードを見比べてみましょう。
まずは、数字5桁のパスワードのパターン数です。
数字(10進数)は「0~9」と1桁10種類ありますね。それが5桁なので、
「00,000~99,999」まであります。
数式で表すと
10 ^ 5 = 100,000
と10万通りあることが分かります。
次に数字と英語(大・小文字区別なし)が組み合わされた5桁のパスワードのパターン数です。
数字の10種類と、英語(大・小文字区別なし)の26種類あるので、合計で1桁で36種類を用いることができます。
この場合のパターン数を数式で表すと
36 ^ 5 = 60,466,176
となり、先ほどの数字のみの5桁のパスワードと比べパターン数がかなり増えたことが分かると思います。
こういったことからも様々な文字の種類を用いる方が良いことが分かりますね。
パスワード設定の対策
ズバリの手段を下に示します。
- 文字の種類を増やす(数字、英大文字、英子文字、記号等)
- パスワードの桁数を増やす。
※Googleでパスワード管理を行うならば、安全なパスワードを発行してもらうのも良いでしょう。
文字の種類を増やすというのは先ほども説明した通り、1桁あたりの種類を増やせばパスワードを解析するのに時間もかかるということです。パスワードの桁数を増やすというのも桁数を増やせばその分、解析に時間がかかるというまあ当然といえば当然のことです。
まとめ
ブルートフォースアタックは片っ端からパスワードを入力(全パターン)していくことでパスワードを解析してしまう方法です。
対策はパスワードの文字数を増やしたり、文字の種類を増やすことで解析されるのに時間がかかります。