簡単なパスワードは危険だといわれていますが、実際どのように破られるのか、実際に体験してみたので手順を紹介します。
まず、適当なテキストファイルを用意して、パスワード付きのzipファイルに圧縮します。
パスワードは「12345」としました。
パスワードを破る!
利用するツールは、解凍ソフトとして有名なLhaplusです。
※ バージョン 1.73 以前には脆弱性があるため、必ず 1.74 以上を利用してください。2019年10月2日現在は、1.74 が最新バージョンです。
WindowsのスタートメニューからLhaplusを起動すると、「ZIP パスワード探索」というタブがあります。
このツールでは、総当たり攻撃という方法で、すべての文字列を順に試しているようです。(0000、0001、0002、…)
探索するZIPファイルを指定して、「開始」ボタンをクリックします。
一瞬でパスワードが判明しました。1秒もかかっていません。
先ほどの画面では、探索範囲が「数字のみ」になっているので、画面に書いてある通り、4桁の場合は1万通り、5桁の場合は10万通りの組み合わせの中に正解があります。
英字・記号も混ぜましょう。
この実験から改めて理解することは、総当たり攻撃に対しては、英数記号をすべて含んで、大小文字も混在しているパスワードが一番強いということです。
おまけ
攻撃の方法は、辞書攻撃などもあり、「P@ssw0rd!」などのように、攻撃者が用意するであろう辞書に登録されているキーワードは、英字記号を含んでいても、辞書攻撃の前では紙の防御になってしまいます。
やはり、パスワードは意味を持たないランダムな文字列であることも重要な要素となります。
Originally posted 2019-10-02 14:24:24.