パスワードの設定は大事！！

クラッカーがパスワードを破る時間を計算すると、
以下の表の時間で簡単に破られてしまうようだ。
最近では、もっと賢くなっているだろうから
より時間が短縮されているだろう。

パスワードには気をつけ無ければならない！！

（日経パソコン 1998年8月24日号「特集 パソコンの情報に鍵をかけよう」の第3部 表1を参考）



【パスワード見破りの手口】　NIKKEIBPより
■手口その1　「推測」
最も単純な方法で、ユーザーの個人情報などからパスワードを推測する方法。
例えば、ターゲットとするユーザーの名前や生年月日，車のナンバー，
電話番号などをパスワードの候補として推測する。

■手口その2　「ソーシャル・エンジニアリング」
管理者や上司などになりすましてパスワードを聞き出す方法。

■手口その3　「辞書攻撃」
用意した辞書に載っているすべての単語をパスワードとして試す方法。
ただし実際に辞書を片手にパスワードを次々入力するわけではなく、
辞書ファイルを利用したパスワード破りのプログラムを使用する。
まずなんらかの方法で，コンピュータ内に保存されたパスワード・ファイルを
入手する。このパスワード・ファイルにはパスワードが暗号化されて
保存されているので，そのままではパスワードはわからないが、
暗号化の方法はわかっている。そこで，パスワード破りプログラムは、
辞書の単語を次々に暗号化して暗号化した結果がパスワード・ファイルに
記載された暗号文と一致した場合，暗号化前の単語がパスワードということになる。
辞書ファイルには数十万の単語が登録されており、英単語はもちろん、
日本語をはじめとする各国の単語や人名や地名などの固有名詞も登録されている。
また、パスワード破りプログラムは、単純に単語を試すだけではなく、
組み合わせや逆順なども試すようになっている。

■手口その4　「総当たり攻撃」
可能な文字の組み合わせを総当たりで試す方法。
具体的なやり方は「辞書攻撃」と同じで、パスワード・ファイルを入手し、
総当たり攻撃用のパスワード破りプログラムを使う。
総当たり攻撃にさらされれば、いかにランダムなパスワードといえども
いつかは破る。問題は破られるまでの時間なので、
「ランダムかつ，大文字/小文字/数字/記号が混在する6桁以上のパスワード」ならば、
破られるまでに1カ月以上かかるといわれている。
そのため、たとえば1カ月よりも短い間隔で定期的にパスワードを変更すれば，
さらに破られにくくなる。

■手口その5　「ネットワーク盗聴」
ネットワークを流れるパスワード情報を盗む方法。
ネットワーク上の情報をすべて取り込んでしまうプログラムが存在し、
Telnetなどのコマンドを使うと、パスワードは平文（暗号化されていない文）で流れる。
そのため、社内ネットワーク上を流れる情報をモニターしてパスワードを盗み出すことが可能。
ユーザーレベルでこの攻撃を防ぐことは困難だ。