ハッカーが使用するパスワードクラッキング手法トップ 10

ハッカーがオンライン アカウントを大規模に破壊するために使用するパスワード クラッキング手法を理解することは、そのようなことが絶対に起こらないようにするための優れた方法です。

確かに常にパスワードを変更する必要があり、場合によっては思っているよりも緊急に変更する必要がありますが、盗難を軽減することはアカウントのセキュリティを常に維持するための優れた方法です。www.haveibeenpwned.comにアクセスして、 自分が危険にさらされているかどうかを確認することはいつでもできますが、自分のパスワードがハッキングされないほど安全であると単純に考えるのは悪い考え方です。

そこで、安全かどうかを問わず、ハッカーがどのようにしてパスワードを取得するかを理解するために、ハッカーが使用するパスワードクラッキング手法トップ 10 のリストをまとめました。以下のメソッドのいくつかは確かに時代遅れですが、それはそれらがまだ使用されていないという意味ではありません。注意深く読んで、何を軽減すべきかを学びましょう。

ハッカーが使用するパスワードクラッキング手法トップ 10

1. フィッシング

ハッキングする簡単な方法があります。ユーザーにパスワードを尋ねます。フィッシングメールは、何の疑いも持たない読者を、ハッカーがアクセスしたいサービスに関連付けられたなりすましのログインページに誘導します。通常は、ユーザーにセキュリティ上の重大な問題を解決するよう要求します。そのページはパスワードをスキミングし、ハッカーはそれを自分の目的に使用することができます。

ユーザーが喜んでパスワードを教えてくれるのに、なぜわざわざパスワードを解読する必要があるのでしょうか?

2. ソーシャルエンジニアリング

ソーシャル エンジニアリングは、「ユーザーに尋ねる」という概念全体を、フィッシングが固執しがちな受信トレイの外に現実世界に取り入れます。

ソーシャル エンジニアのお気に入りは、IT セキュリティ技術者を装ってオフィスに電話し、ネットワーク アクセスのパスワードを尋ねることです。これがどれほど頻繁に機能するかに驚かれるでしょう。中には、ビジネスに入る前にスーツと名札を身に着けて、受付係に面と向かって同じ質問をするために必要な生殖腺を備えている人もいます。

多くの企業では十分なセキュリティが整備されていない、あるいは制服やすすり泣きの話を理由に人々に機密性の高い場所へのアクセスを許可するなど、本来あるべきでないときに人々があまりにもフレンドリーで信頼しすぎていることが、何度も示されてきました。

3. マルウェア

マルウェアにはさまざまな形式があります。たとえば、スクリーン スクレーパーとも呼ばれるキーロガーは、ログイン プロセス中に入力したものやスクリーンショットをすべて記録し、このファイルのコピーをハッカー セントラルに転送します。

一部のマルウェアは、Web ブラウザ クライアントのパスワード ファイルの存在を探してコピーします。このファイルには、適切に暗号化されていない限り、ユーザーの閲覧履歴から簡単にアクセスできる保存されたパスワードが含まれています。

4. 辞書攻撃

辞書攻撃は、辞書に載っている単語を含む単純なファイルを使用するため、かなり単純な名前が付けられています。言い換えれば、この攻撃は、多くの人がパスワードとして使用している種類の単語を正確に使用します。

「letmein」や「superadministratorguy」などの単語を巧みにグループ化しても、この方法でパスワードが解読されるのを防ぐことはできません。ただし、ほんの数秒の余分な時間ではありません。

5. レインボーテーブルアタック

レインボー テーブルはその名前が示すほどカラフルではありませんが、ハッカーにとっては、パスワードがテーブルの最後にある可能性があります。可能な限り最も簡単な方法では、レインボー テーブルを、事前に計算されたハッシュ (パスワードを暗号化するときに使用される数値) のリストに要約することができます。このテーブルには、特定のハッシュ アルゴリズムで考えられるすべてのパスワードの組み合わせのハッシュが含まれています。レインボー テーブルは、パスワード ハッシュを解読するのに必要な時間を単にリスト内で検索するだけで短縮できるため、魅力的です。

しかし、レインボーテーブルは巨大で扱いにくいものです。これらを実行するにはかなりのコンピューティング能力が必要であり、アルゴリズムをハッシュする前にパスワードにランダムな文字を追加して、検索しようとしているハッシュが「ソルト化」されている場合、テーブルは役に立たなくなります。

ソルテッドレインボーテーブルが存在するという話もありますが、これは大きすぎて実際に使用するのは困難です。これらは、テーブルのサイズが国家レベルのハッカーにとってさえ法外なものとなるため、事前に定義された「ランダム文字」セットと 12 文字未満のパスワード文字列でのみ機能する可能性があります。

6.スパイダーイング

賢明なハッカーは、多くの企業パスワードがビジネス自体に関連する単語で構成されていることに気づきました。企業資料、Web サイトの販売資料、さらには競合他社や上場顧客の Web サイトを研究することで、ブルート フォース攻撃に使用するカスタムの単語リストを作成するための材料が得られます。

本当に賢いハッカーはプロセスを自動化し、主要な検索エンジンが採用するウェブ クローラーに似たスパイダー アプリケーションにキーワードを識別させ、そのリストを収集して照合させます。

7. オフラインクラッキング

パスワードが保護するシステムが 3 ～ 4 回の間違った推測後にユーザーをロックアウトし、自動推測アプリケーションをブロックする場合、パスワードが安全であることは容易に想像できます。ほとんどのパスワード ハッキングが、侵害されたシステムから「取得」されたパスワード ファイル内の一連のハッシュを使用してオフラインで行われるという事実がなければ、これは真実でしょう。

多くの場合、問題のターゲットはサードパーティのハッキングによって侵害されており、システム サーバーや非常に重要なユーザー パスワード ハッシュ ファイルへのアクセスが提供されます。パスワード クラッカーは、ターゲット システムや個々のユーザーに警告することなく、必要なだけ時間をかけてコードの解読を試みることができます。

8. ブルートフォース攻撃

辞書攻撃と同様に、ブルート フォース攻撃にはハッカーにとって追加のボーナスが伴います。単純に単語を使用するのではなく、総当たり攻撃により、aaa1 から zzz10 までのすべての可能な英数字の組み合わせを調べることで、辞書に載っていない単語を検出できます。

パスワードが数文字を超える場合、これはすぐにはできませんが、最終的にはパスワードを明らかにします。ブルート フォース攻撃は、ビデオ カードの GPU の利用を含む処理能力と、オンライン ビットコイン マイナーのような分散コンピューティング モデルの使用などのマシン数の両方の観点から、追加のコンピューティング能力を投入することで時間を短縮できます。

9. ショルダーサーフィン

ソーシャル エンジニアリングのもう 1 つの形式であるショルダー サーフィンは、その言葉が示すとおり、資格情報やパスワードなどを入力している人の肩越しにのぞき見することを意味します。この概念は非常にローテクですが、パスワードや機密情報の多さに驚かれるでしょう。このようにして盗難されるため、外出先で銀行口座などにアクセスする場合は周囲に注意してください。

最も自信のあるハッカーは、宅配便業者、エアコン サービス技術者、またはその他のあらゆるものを装い、オフィス ビルにアクセスします。彼らが入場すると、「制服」のサービス要員は、何の妨げもなく歩き回れる一種のフリーパスを提供し、本物のスタッフが入力したパスワードをメモします。また、LCD スクリーンの前面に貼り付けられたログイン情報が書き込まれたポストイットをすべて見る絶好の機会でもあります。

10. 推測する

もちろん、パスワード クラッカーの最大の味方はユーザーの予測可能性です。タスク専用のソフトウェアを使用して本当にランダムなパスワードが作成されていない限り、ユーザーが生成した「ランダムな」パスワードがそのようなものである可能性は低いです。

その代わりに、私たちの脳は好きなものに対する感情的な執着のおかげで、それらのランダムなパスワードは私たちの興味、趣味、ペット、家族などに基づいている可能性が高くなります。実際、パスワードはソーシャル ネットワーク上で話したいことすべてに基づいて設定される傾向があり、プロフィールにも含めることさえあります。パスワード クラッカーは、辞書攻撃やブルート フォース攻撃に頼ることなく、消費者レベルのパスワードを解読しようとするときに、この情報を見て、いくつかの (多くの場合は正しい) 知識に基づいた推測を行う可能性が非常に高くなります。

注意すべきその他の攻撃

ハッカーに欠けているものがあるとすれば、それは創造性ではありません。さまざまな技術を使用し、絶えず変化するセキュリティ プロトコルに適応することで、これらの侵入者は引き続き成功を収めています。

たとえば、ソーシャル メディアを利用している人なら誰でも、初めての車、好きな食べ物、14 歳の誕生日のナンバー 1 の曲について話すように求める楽しいクイズやテンプレートを見たことがあるでしょう。これらのゲームは無害に見え、投稿するのは確かに楽しいですが、実際には、セキュリティの質問とアカウント アクセス確認の回答のためのオープン テンプレートです。

アカウントを設定するときは、実際には自分には関係ないものの、簡単に覚えられる回答を使用してみてください。「あなたの最初の車は何でしたか？」正直に答える代わりに、あなたの夢の車を載せてください。それ以外の場合は、セキュリティの回答をオンラインに投稿しないでください。

アクセスを取得するもう 1 つの方法は、パスワードをリセットすることです。パスワードをリセットする侵入者に対する最善の防御策は、頻繁にチェックする電子メール アドレスを使用し、連絡先情報を最新の状態に保つことです。利用可能な場合は、常に 2 要素認証を有効にしてください。ハッカーがあなたのパスワードを知ったとしても、固有の確認コードがなければアカウントにアクセスすることはできません。

ハッカーから身を守るためのベストプラクティス

• すべてのアカウントに対して強力で固有のパスワードを維持してください。パスワード マネージャーが利用可能です。
• メール内のリンクをクリックしたり、ファイルを勝手にダウンロードしたりしないでください。まったく行わないことが最善ですが、アクティベーションメールはこれを防ぎます。
• セキュリティ更新プログラムを定期的に確認して適用します。ほとんどの職場コンピュータではこれが許可されていない可能性があります。これらの処理はシステム管理者が行います。
• 新しいコンピューターまたはドライブを使用する場合は、暗号化の使用を検討してください。データが保存された HDD/SSD を暗号化することはできますが、追加の情報があるため、暗号化には数時間から数日かかる場合があります。
• 最小特権の概念を使用します。これは、必要なものにのみアクセスを許可することを意味します。基本的に、自分や友人、家族がコンピュータをカジュアルに使用するために、管理者ではないユーザー アカウントを作成します。

よくある質問

サイトごとに異なるパスワードが必要なのはなぜですか?

パスワードを教えてはいけないことや、よく知らないコンテンツをダウンロードしてはいけないことはおそらくご存知でしょうが、毎日サインインしているアカウントはどうでしょうか? Grammarly などの任意のアカウントに使用しているパスワードと同じパスワードを銀行口座に使用しているとします。Grammarly がハッキングされた場合、そのユーザーはあなたの銀行パスワードも知ることになります (そしておそらくあなたの電子メールにより、すべての金融リソースへのアクセスがさらに容易になります)。

自分のアカウントを保護するにはどうすればよいですか?

この機能を提供するアカウントで 2FA を使用し、アカウントごとに一意のパスワードを使用し、文字と記号を組み合わせて使用​​することが、ハッカーに対する最善の防御策となります。前述したように、ハッカーがあなたのアカウントにアクセスするにはさまざまな方法があります。そのため、ソフトウェアやアプリを (セキュリティ パッチのために) 最新の状態に保つことも定期的に行う必要があります。馴染みのないダウンロードは避けてください。

パスワードを保管する最も安全な方法は何ですか?

いくつかの独特で奇妙なパスワードを使い続けるのは、非常に困難な場合があります。アカウントが侵害されるよりは、パスワードのリセット プロセスを実行する方がはるかに良いですが、時間がかかります。パスワードを安全に保つために、Last Pass や KeePass などのサービスを使用して、アカウントのパスワードをすべて保存できます。

独自のアルゴリズムを使用して、パスワードを保持しながら覚えやすくすることもできます。たとえば、PayPal は hwpp+c832 のようなものになります。基本的に、このパスワードは、URL (https://www.paypal.com) の各区切りの最初の文字と、あなたの家の全員の誕生年の最後の数字を組み合わせたものです (ほんの一例です)。アカウントにログインするときに、このパスワードの最初の数文字を示す URL を表示します。

記号を追加すると、パスワードのハッキングがさらに困難になりますが、覚えやすいように整理されます。たとえば、「+」記号はエンターテイメントに関連するアカウントに使用でき、「!」記号はエンターテイメントに関連するアカウントに使用できます。金融口座に使用できます。

オンラインの安全性を実践する

コミュニケーションが一瞬にして世界中で行われるグローバル時代では、誰もが善意を持っているわけではないことを覚えておくことが重要です。パスワードやソーシャル メディア情報漏洩に対する意識を積極的に管理および更新することで、オンラインで自分自身を保護します。共有することは思いやりですが、個人情報を共有することでサイバー犯罪者の標的になりやすいわけではありません。