ブルートフォース攻撃とは何か、それを防ぐ方法

What is a brute-force attack?

CAPTCHAをときどき解決する必要がありますが、これらのときどき厄介なテストの目的は何かを考えたことはありますか?とにかくCAPTCHAはどういう意味ですか?これCompletely Automated Public Turing test to tell Computers and Humans Apart の略であり、その主な目標の一つは、成功したブルートフォース攻撃を防ぐためです。さらに質問をする時間です。

ブルートフォース攻撃とは何ですか?

コンビネーションロックを考えてください。ロックを解除する4桁のコードがわからないので、推測してみてください。 「0000」から始め、それが機能しない場合は、ロックを開く組み合わせに到達するまで「0001」、「0002」、「0003」などを試してください。これは、簡単に言えば、ブルートフォース攻撃であり、同じ原則をパスワードに適用できます。

もちろん、思ったほど簡単ではありません。通常、パスワードは4文字以上で構成され、通常はその中に文字があります。これについては、すぐにわかるように、可能な組み合わせの数がはるかに多いことを意味します。全体として、従来の形式のブルートフォース攻撃は、パスワードを破る見事に効果的な方法ではありません。だからこそ、辞書攻撃と呼ばれるブルートフォース攻撃の進化は、今日でははるかに一般的です。

辞書攻撃とは何ですか?

辞書攻撃では、ハッカーはまだパスワードを推測しようとしています。違いは、ブルートフォースの試みでは、暗闇で射撃しているのに対し、ここでは知識に基づいた推測をしていることです。この攻撃は、ユーザーのパスワードがあまり良くないという事実によって可能になります

複数の複雑なパスワードを記憶するのは難しいため、多くの人は「パスワード」のような単純な単語や「qwerty」のようなキーボードパターンでアカウントを保護することに頼ります。一般的に使用されるパスワードの長いリストをまとめることにより、ハッカーははるかに少ない回数でパスワードを推測する可能性が高くなります。

オフラインおよびオンライン攻撃

従来のブルートフォース攻撃とさまざまな辞書は、オンラインまたはオフラインで実行できます。オンライン攻撃では、ハッカーはログインページでパスワードを推測しようとします。彼らがオフラインのとき、彼らはサービスプロバイダーに違反し、ハッシュされたパスワードを含むデータベースをダウンロードしました。ハッシュメカニズムをローカルで再作成した後、ログインページに接続せずにパスワードを推測しようとします。

CAPTCHAは、このすべてにどこから来るのでしょうか?

これは、オンラインの総当たり攻撃や辞書攻撃を阻止するためのメカニズムです。既にご想像のとおり、画面に「Access Granted」と表示されるまで、攻撃者はキーボードの前に別のパスワードを入力しようとしません。彼らは自動化されたツールとソフトウェアを使用しており、これらのツールと同様に洗練されているため、優れたCAPTCHAテストを解決することはできません。通常、ログイン試行の失敗回数の制限や不審なトラフィックを生成するIPのブロックなどの他の予防策がありますが、CAPTCHAテストは最も単純な(完全に完全ではありませんが)ソリューションです。

ただし、オフライン攻撃では、CAPTCHAテストは完全に無関係です。そこに足を踏み入れる必要があります。

ブルートフォース攻撃から身を守る

パスワードが辞書攻撃の影響を受けないようにする唯一の方法は、パスワードがハッカーの辞書にないことを確認することです。推測するのが容易ではないと思う場合でも、キーボードパターンは問題外です。パスワードが意味のある単語である場合、同様に脆弱になる可能性があります。オフライン攻撃では、ハッカーはログインの試みを捕まえたり、使い果たしたりすることを心配する必要がないことを忘れないでください。したがって、理論的には言語の語彙全体をロードし、正しい単語が現れるのを待つことができます。意味のないランダムな文字列は、辞書攻撃からあなたを保護するだけでなく、ブルートフォース攻撃を著しく困難にします。

使用する文字の長さと種類に応じて、すべての単一パスワードに可能な組み合わせの数は有限です。たとえば、4文字の数値コードの場合、合計1万の可能な組み合わせがあります。ただし、方程式に小文字を追加すると、すぐに数字が170万近くになります。大文字を追加すると、1480万個近くの組み合わせが表示されます。

それは多くのように聞こえるかもしれませんが、現代のパスワードクラッキングツールはこれらのすべての組み合わせを数秒で通過するため、可能な限り幅広い文字の使用を推奨することに加えて、専門家は少なくとも良いパスワードは8文字の長さ。

あなた方の中には、「考えられるよりも簡単だ」という考え方を読んでいる人もいるかもしれません。まあ、総当たり攻撃を阻止することはこれまでになく簡単になりました。 Cyclonis Password Managerを使用すると、複数の強力なパスワードを簡単に作成して保存できます。 自動パスワードジェネレーターは、数字、文字、特殊文字で構成されるランダムなパスワードを作成します。パスワードの長さはユーザーが決定します。それらを思い出すことを心配する必要もありません。 Cyclonis Password Managerは、すべてのパスワードを暗号化されたボールトに入れ、マスターパスワードを介してアクセスできるようにします。

January 13, 2020

返信を残す