「パスワード復元プロセス」の項目に既に目を通された方は、パスワード検索に2つの方法を使用していることをご理解いただいたことと思います。辞書攻撃(最も広く使える方法)とマスク使用の総当たり攻撃(かなりリソース集約的な作業)です。以下では、作業の種類ごとにパスワード復元の可能性を考えてゆきます。
私たちは、最も人気のある、つまり単純なパスワードを集めた優れたデータベースを作成しました。データを保護するために、様々な人々が何度も使用した実際のパスワードです。このリストは、誰もが覚えのある「123456」、「password」、「qwerty」、「abc123」などから始まり、300万以上の最も人気のあるパスワードが納められています。このようなパスワードは、複雑なパスワードを覚えるのが面倒だと言う理由でしばしば利用されますが、とても脆弱です。
ファイルの種類に関わらず300万個のパスワードを試すことは、私たちのコンピュータ・クラスターを使えば数分で完了します。すべての訪問者へのささやかなプレゼントとして、私たちはこの作業を無料で行います。当社内での統計では、こうした単純なパスワード群からの復元の可能性はそれほど高くなく、約22%です。とは言え、この作業はすぐに完了するので、試す価値は十分にあります。
脆弱なパスワードのデータベースからの検索が失敗した場合は、第2段階に進みます。メインのデータベースを使ったブルートフォース攻撃です。私たちのデータベースには、現在200億以上の実際に使われていたパスワードが収録されています。このような辞書の検索には、最大24時間と少し時間がかかり、作業は有料となります。しかし、成功率はかなり高くなります。当社統計では、この方法では61%のケースで正しいパスワードが見付けられています。
ブルートフォースでは、考えられるすべての組み合わせを直接検索するため、パスワード復元の可能性が100%になります。ただし、それほど長くないパスワードであっても、オプションの数は膨大であることはご理解ください。たとえば、10文字のパスワードには60兆以上(60*18)のオプションがあります。これは、最強のスーパーコンピュータにとっても、また個人の財布にとっても、到底手におえない作業量です。
ブルートフォースは、パスワードの構造がわかっている場合に使用します。これは、パスワードの最大の文字数、または正確な文字数と、それに使用されている文字の種類がわかっている場合です。たとえば、パスワードが8文字で、英語のアルファベットの大文字のみで構成されている場合、2,170億通りのオプションがあります。強力なGPUサーバーを使えば、このようなパスワードを見つけることは十分現実的です。パスワードの文字数が9文字の場合、オプション数は5兆通りに増えます。タスクは何倍も複雑になりますが、それなりの必要と経済的可能性があれば、まだ解決は可能です。私たちのコンピュータ・クラスターを使うと、このようなパスワードも1〜2週間で見つけることが可能です。
ただし、正しいマスク(条件)を指定した場合にのみ、成功の可能性が100%になることにご注意ください。パスワードに指定されていない文字がたった1つ含まれているだけで、すべての作業が無駄になってしまいます。
上記の要約として、パスワード復元の可能性をまとめましょう。
| 攻撃タイプ | 期間 | 価格 | 成功の可能性 |
|---|---|---|---|
| 単純なパスワードの復元 | 数分 | 無料 | ≈ 22% |
| 複雑なパスワードの復元 | 24時間以内 | $29から | ≈ 61% |
| マスクを使ったブルートフォース攻撃 | マスクの複雑さによる | 個別相談で | 100% (正しいマスクご指定の場合) |
Copyright © 2017-2020 LostMyPass.com
English version available