インターネット攻撃概論 第六回 パスワードの盗まれ方(3)パスワードが無理やり解析される   no comments

Posted at 1:24 pm in ネタ,日記

こんにちは。今回は前回に引き続き、パスワードを何とかして手に入れるお話です。

山本「先週お話しした、パスワードを推測するお話ですが、誰か、試してみた人いますか?」
生徒「試してみたよ。先生のおかげでレアカード手に入れたっす」
山本「お、それはすごいですね。とりあえず学籍番号と名前はすでに調べてありますので通報しておきますね。」
生徒「てめえ、きたねえぞ!アイテムやるから許してくれよー」
山本「君はなかなか話のわかる人ですね。後で研究室に来てください」

○ツールを使ってパスワードを知る
そんな犯罪者のことはほっといて、先週お話しさせていただいた、パスワードの推測です。パスワードを試す数が少ない場合自力で試してブチあてることももちろんできますが、人力にも人生にもは限界があります。長くてややこしいパスワードだと惜しくもパスワードがわかるまえに時間切れで死んでしまうというわけです。

それでは困ると、世界中の人口と同じくらいの人が思っているわけですが、その中でも特に技術力と情熱のある人たちが、当たりのパスワードに何とかして到達するためのツールを作っています。

どのようなことができるかと申しますと、ユーザー名のリストからユーザー名とパスワードが同じに設定されていものを調べたり、パスワードとして使っていそうな単語のリストを順番に試してみたりと、先週お話しさせていただいたことをまるごと機械がやってくれるということですね。

生徒「おまえ、おれ、一週間かけて手でやっちゃったじゃんかよー時間返せよヴォケー」
山本「おまえ、やってること犯罪だかんな、黙ってないと警察電話して俺の友達のサイバー犯罪捜査官に栽尾させんぞヴォケが」
生徒「やめてくださいうわわーん」

しかも、あなた方が思っているよりもずっと高機能ですので「Password1」はまずいから「pAssWord8」とかにしている、ちょっと考えているゼ、ボクとか思ってるようなパスワードは簡単に見つかってしまうでしょう。また、パスワードを推測するとき同様に、その人の好きそうなジャンルの単語を集めてリストにしておくことで、当てる確率を高めることも可能です。その人はいつもアニメのキャラクターの名前をパスワードにしているなどわかっていれば、これを使うといいでしょう。

brutus

有名なオンラインパスクラッカー「Brutus」

とはいえ、サービス側だって連続してパスワードを試す不埒な奴のことは考えてます。こんな間違ったパスワードを同じところから何回も試すって、普通に考えたら犯罪者か白痴です。ということで最近の多くのサイトでは、連続で試せる回数が決まっていて、ある一定回数失敗すると、それ以上試せなくなったりします。

だからといってあきらめてはそこで終わりです。めげずに時間をおいて何度もトライしたり、アクセスする場所を変えることで、回避できるケースがほとんどです。ほとんどの人はそんなものはないと思いますが、水が石に穴を開けるような誰もやらないような根気が必要ですね。あと、相手がパスワードをたまに変えてる場合はすべてが無駄になりますね。てへっ。

○パスワードリマインダー
このように、ツールを使った場合でも、サービスによってはなかなかパスワードが判明しないということがわかっていただけたかと思いますが、次にかすかな望みを授けます。

最近では親切にも自分のパスワードを忘れてしまった人のために、「パスワードを忘れた場合は、コチラからお問い合わせください。」のような機能があるWebサイトも多くあります。当たり前ですが、その場でわかることはほぼなく、登録したメールアドレスに送信されます。ケータイを拾ったとか、その人のPCを借りてメールが見られるなど、運良くその人のメールが見られる立場になったなら、パスワードを見たり変更したりすることができるかもしれません。

また、サイトによってはその人の誕生日とか、お母さんの旧姓とか、初体験の日にちとかペットの名前とかで、パスワードを再設定することが可能になる場合もあります。この場合だとパスワードを推測するときと同様に、その人の情報を丹念に調べることで、再設定できるかもしれません。なかなかうまくいくことはないと思いますが、頭の片隅でも入れておくといいでしょう。

パスワードリマインダー

パスワードリマインダーの一例

 

○オフラインパスワードクラック

ここまでは、インターネットでのお話でしたが、ここからはインターネットから少し外れて、手元のコンピュータのお話になります。

パスワードがかかっているものとしては、zipファイルやpdfファイルやwordファイルなどがあります。皆さんもzipファイルをファイル共有ツールなんかを使ってダウンロードしたものの、パスワードがかかって開かないという経験があるのではないでしょうか。

生徒「俺もさっきAKBのエロ写真詰め合わせ落としたけどパスワードかかってるって言われて超ムカついたんですけどー」
山本「AKBですか… 先生その写真、いや、そのパスワードに興味ありますね、先生がお手伝いさせてもらおうと思いますのであとで研究室にきてくださいね。」

このようなパスワードのかかっているzipファイル、手を使ってパスワードを攻略するやり方以外に、パスワードを自動で変更して試してくれるのツールがあります。

これらはインターネットのサービスと違って、手元にあるファイルなので何度でも飽きるまで試すことができますし、インターネットにアクセスする必要がありませんので非常に高速です。しかもインターネットと違い、相手に怒られたり逮捕される恐れもありませんので、気軽に試せるのもいいところですね。

zipファイルのパスワードを探すツール「PikaZip」

似たようなものとして、Windowsのログインパスワードがあります。皆さん、当たり前だと思いますが、パスワードがかかっているPCが目の前にあると、ログインしてみたいですよね。これについてもパスワードがわかったり、リセットされるツールが出回っています。これも使い方はとても簡単で、CDを入れて再起動させるだけです。

Windowsのログインパスワードをクラックする「Kon-Boot」

君たちにこんなものを教えると学校が大変なことになると思いますので、ありかはここでは教えませんが、興味がある人は自主的に検索してみるといいのではないかと思います。

また、詳しくは後日お話しすることになりますが、通信を盗聴して、パスワードファイルを手に入れて、これを自分の手元で攻撃することもできますね。このへんはややこしいので聞き流す程度で大丈夫です。

このように、パスワードを何とかして手に入れるための方法を紹介させていただきました。

次回はパスワードを他人にうまく教えてもらったり、パスワードを使わずに何とかする方法をお話しさせていただきます。

Written by bogus on 6月 19th, 2012

Tagged with