ハッカーがパスワードを解読する時間

 
  
 

1.ハッカーが総当たり攻撃でパスワードを解読する時間

 


 
出典:https://www.reddit.com/r/Infographics/comments/iovbi8/updated_table_on_time_to_brute_force_passwords/
 
 

 
辞書攻撃

辞書攻撃とは、辞書に掲載されている単語や人名を組み合わせて、パスワードを推測して試す方法。総当たり攻撃より効率的に解読できる。辞書攻撃は、単純に辞書に掲載されている単語を試すだけでなく、大文字と小文字を組み合わせたり数字を加えて見たりして攻撃する。総当たりするより大幅に解読時間が、短縮されるのが特徴です。
 
人は、パスワードを忘れると困るので、覚えやすい単語や地名、人の名前を使うことがよくある。ハッカーはこれを逆手にとって攻撃してくる。これらのパスワードは、簡単な単語の組み合わせなので容易の解読されてしまう。何十万語も辞書に収録されているが、ハッカーにとっては一瞬に解読できてしまう。とても危険なパスワードです。

 
 

 

2.推奨される安全なパスワード

 

・パスワードが長さ最低12文字。
・パスワードは、英数字で、大文字・小文字・記号の組合せ。
・一般的な単語は避ける。例)abc123、123456、Iloveyouなど
・あなたのパートナーや子ども、ペットの名前は避ける。
・パスワードを再利用しない。
・パスワードマネージャーを利用して再利用を防ぐ。
・パスワード認証は多要素認証を使い、2つ以上組み合わせる。

 
注意)パスワードを定期的に変更することは、現在は推奨されていません。
総務省「安全なパスワード管理
 

 
パスフレーズとは

米国国立標準技術研究所(NIST)が まとめた最新版の ガイドライン ※によると、破られにくく、かつ覚えやすい文字列を作り出すために、パスワードではなく「パスフレーズ」の使用を勧めている。パスワードと言えば、複雑にすることが重要だと考えられていたことから、アルファベットの大文字と小文字や数字、記号などを含めて より複雑なパスワードを設定することが、望ましいとされていた。

ところが、米国国立標準技術研究所(NIST)によると、複雑さより長さが重要だと指摘している。そこで、設定するパスワードを複数の単語を組み合わせたり、文章で作成するパスフレーズを推奨している。
 
※NIST Special Publication (SP) 800-63-3「デジタルアイデンティティガイドライン」
 

パスフレーズの例)
“[I] [l]ike [t]o [p]lay [b]asket[b]all.” ( I like to play basketball )
単語の頭文字を取って
Iltpbb

 

  
 
 
パスワード生成

こちらのサイトは、お好みのパスワードを自動生成してくれるツールです。
 
https://www.luft.co.jp/cgi/randam.php
 

 
  
 

3.ハッカーが使っているパスワードハッキングソフト

 

ハッシュ衝突攻撃

MD5やSHAなどハッシュ値を使ったパスワードでも安全ではありません。ハッカーが使っているCrackStaionといったソフトで破られてしまいます。ハッシュ衝突攻撃ができるソフトが多数存在しているため、ハッシュ値であっても安心は禁物です。
 
 
https://crackstation.net/

 
 
ハッカーが使っているパスワードハッキングソフト

CrackStation

Password Cracker

Brutus Password Cracker

Aircrack

RainbowCrack

THC Hydra

Cain and Abel

Medusa

John The Ripper

ophCrack

WFuzz

 
 
 

4.漏洩したか確認するサイト

 
「Have I Been Pwned」というサイトは、パスワードが流出しているかどうか確認できるサービスをオンライン上でしています。ウィキペディアによると、2019年6月現在、80億件の漏洩情報を有している。メール通知サービスに登録を行うと、個人情報が含まれる新たな情報漏洩が発覚した際には、その情報がメールで通知が届くサービスも実施している。

 
https://haveibeenpwned.com/Passwords
 

 
 
 
 

5.安全なWebアプリケーションの開発のために

 
開発側も防衛手段として、数分ごとに自動変化するパスワード「ワンタイムパスワード」や「セキュリティトークン」を採用したり、一定の速度以上でパスワードを試そうとする行為を禁止したりするなどして、Webシステムを再構築して対策をとる必要がある。
 
 

日本政府が実施している「e-Gov電子申請」は、ワンタイムパスワードを採用しており安全性が高い。
 
e-Gov電子申請では以下の手続きができる。

社会保険関係手続
雇用保険関係手続
労働保険関係手続
 


 

 

 
参考)
安全なWebアプリケーションの開発に必要なセキュリティ要件書です。Web開発者の方は参考にしてください。資料は、下記のリンクからダウンロードできます。
 
Webアプリのセキュリティ要件定義書
https://github.com/OWASP/www-chapter-japan/tree/master/secreq
 

Ver.4.0 (2022年6月リリース版)
Webシステム/Webアプリケーションセキュリティ要件書(EXCEL版)
Webシステム/Webアプリケーションセキュリティ要件書(PDF版)
Webシステム/Webアプリケーションセキュリティ要件書 (Ver.3.1 からの差分表示 PDF版)
 
 

 
 

 
もっとも一般的に使われているパスワードTOP200
 
qwerty は一見すると不規則なパスワードのように見えるが、キーボードの配列から容易に解読されてしまう。
 

 
 
 
 

まとめ

 
ハッカーにねらわれたら、確実にパスワードは解読されてしまいます。パスワードの長さは、最低でも12文字で、英数字の、大文字・小文字・記号を組合せる。文字数は、多ければ多いほどいい。