ハッカーは、コンピューター、コンピューターネットワーク、Webサイト、オンラインサービスに侵入するために多くの方法を使用します。ブルートフォース攻撃を実行することはそのうちの1つです。サーバーまたは通常のコンピューターをハッキングすることは、最も単純でありながら時間のかかる方法の1つです。ブルートフォース攻撃メカニズムには利点があります。ネットワークセキュリティをチェックしたり、忘れたパスワードを回復したりするのにも使用できます。この投稿では、ブルートフォース攻撃の定義を理解し、基本的な予防方法を確認します。
ブルートフォース攻撃とは何ですか?
ブルートフォース攻撃は、ソフトウェアを使用してさまざまな文字を回転させてパスワードの組み合わせを作成するサイバー攻撃の一種です。ブルートフォース攻撃のパスワードクラッカーソフトウェアは、すべての可能な組み合わせを使用して、コンピューターまたはネットワークサーバーのパスワードを解読します。これは単純であり、高度な技術は使用されていません。数学に基づいているため、ブルートフォースアプリケーションを使用してパスワードを解読するのにかかる時間は、手動で解読するよりも短くなります。コンピューターは数学に優れており、人間の脳が組み合わせを作成するのに時間がかかるのに比べて、そのような計算を数秒で実行するため、数学に基づいていると言いました。
ブルートフォース攻撃は、それを使用する人によって善悪が決まります。ネットワークサーバーにハッキングしようとするサイバー犯罪者である場合もあれば、ネットワークのセキュリティをテストしようとするネットワーク管理者である場合もあります。コンピューターユーザーの中には、ブルートフォースアプリを使用して忘れたパスワードを復元する場合もあります。
ブルートフォース攻撃の顕著な例は、2016年のLinkedIn事件です。攻撃者は自動ソフトウェアを使用して1億1,700万のアカウントのパスワードを推測しました。これにより重大なデータ侵害が発生し、堅牢なパスワードポリシーとセキュリティ対策の重要性が浮き彫りになりました。
ブルートフォース攻撃中はコンピューティングとパスワードの速度が重要
小文字のみを使用し、特殊文字や数字を使用しない場合、ブルートフォース攻撃がパスワードを解読するまで2~10分かかります。ただし、大文字と小文字の組み合わせと数字(8桁と仮定)を使用すると、パスワードを解読するのに14~15年以上かかります。
ブルートフォース攻撃の主な弱点は、すべての可能なパスワードの組み合わせを試すのに膨大な時間とコンピューティング能力が必要なことです。この非効率性は、長くて複雑なパスワード、2要素認証、一意のパスワードの使用などの強力なセキュリティ対策によって悪化し、成功率が大幅に低下します。
また、ネットワークのパスワードを解読したり、Windowsスタンドアロンコンピューターに通常ログインしたりするのにかかる時間は、コンピュータープロセッサの速度にも依存します。
そのため、強力なパスワードを持つことは非常に理にかなっています。本当に強力なパスワードを作成するには、ASCII文字を使用してより強力なパスワードを作成できます。ASCII文字は、キーボードで使用できるすべての文字とそれ以上を指します(テンキーでALT+数字(0~255)を押すと表示されます)。
ASCII文字は約255文字あり、それぞれが機械によって読み取られ、2進数(0または1)に変換されてコンピューターで使用できるようにします。たとえば、「スペース」のASCIIコードは32です。スペースを入力すると、コンピューターはそれを32として読み取り、2進数に変換します。これは10000になります。これらの1、0、0、0、0、0は、コンピューターのメモリ(電子スイッチで構成)にON、OFF、OFF、OFF、OFF、OFFとして保存されます。これはブルートフォースとは関係ありませんが、すべてのASCII文字を使用する場合にパスワードに特殊文字を使用すると、パスワードを解読するのにかかる総時間は100年以上になる可能性があります。
コンピューターのメモリに文字がどのように格納されるかわからない人のためにASCIIについて説明しました。
ブルートフォースパスワード計算機へのリンクを次に示します。ここでは、パスワードを解読するのにどのくらいの時間がかかるかを確認できます。小文字、大文字、数字、すべてのASCII文字を含むさまざまなオプションがあります。パスワードで使用したものに基づいてオプションを選択し、[計算]をクリックして、ブルートフォース攻撃がコンピューターまたはサーバーを侵害するのにどれほど困難であるかを確認します。
ブルートフォース攻撃の予防と保護
パスワードの作成に使用されるさまざまな文字の組み合わせを試すことを除いて、ブルートフォース攻撃には特別なロジックが適用されないため、非常に基本的なレベルでの予防は比較的簡単です。
完全に更新されたWindowsオペレーティングシステムとセキュリティソフトウェアを使用することに加えて、次の特性のいくつかを備えた強力なパスワードを使用する必要があります。
- 大文字を1文字以上
- 数字を1文字以上
- 特殊文字を1文字以上
- パスワードは8~10文字以上
- 必要に応じてASCII文字。
パスワードが長いほど、パスワードを解読するのに時間がかかります。パスワードが「PA$$w0rd」のようなものである場合、現在利用可能なブルートフォース攻撃アプリでそれを解読するには100年以上かかります。ブルートフォース攻撃の領域から外れるインテリジェントなソフトウェアを使用すると非常に簡単に解読できるため、例に示したパスワードを使用しないでください。
当社のフリーウェアであるPassBoxは、すべてのパスワードを記憶し、アカウントに対して強力なパスワードを生成する便利な小さなツールです。または、無料のオンラインパスワードジェネレーターを使用して匿名で強力なパスワードを作成することもできます。そうしたら、Microsoftのパスワードチェッカーで新しいパスワードをテストします。パスワードチェッカーは、入力したパスワードの強度を評価します。
関連する読み物:パスワードスプレー攻撃とは?
WordPress Webサイトソフトウェアを使用している場合、多くのWordPressセキュリティプラグインがブルートフォース攻撃を自動的にブロックします。検討できるもう1つのオプションは、SucuriやCloudflareのようなWebファイアウォールを使用することです。ブルートフォース攻撃をブロックする1つの方法は、一定回数パスワード入力が失敗した後、アカウントをロックすることです。Limit Logins WordPressプラグインは、ブログに対するブルートフォース攻撃を阻止するのに適しています。その他の対策としては、選択したIPアドレスからのみログインを許可し、デフォルトのログインURLを別のものに変更し、Captchaを使用してWordPressブログのセキュリティを強化することが挙げられます。
コメントする