パスワードクラッキングの方法

パスワードクラックというクラッキングがあります。

区別しない人にはハッキングと呼ばれるものですが、パスワードを当てる方法です。
クラックする一般的な手法を紹介しますが、
あくまでもセキュリティ対策として考えてください。

簡単に教えてはいけない:ソーシャルハッキング

よくあるのは、ソーシャルハッキングとよばれる、
教えてはいけない人にパスワードを教えてしまうことです。
作業するからと言われて一時的にきた人にパスワードを教えることなど。
誰でも信用して教えてはいけません。

プログラムを利用する:総当たり攻撃

次によくあるのが、パスワード解析(総当たり攻撃)と呼ばれるクラッキング方法です。
プログラムを利用してパスワードを叩きます。
John the ripperというソフトが有名です。
unix系だとjohnというパッケージをyumやapt-getでインストールしてください。

john the ripperの使い方はサイトがあるので別途見ていただくとして、
総当たり攻撃では大体[0-9]と[a-Z]の文字を組み合わせた文字列を生成してパスワードを叩いていきます。
このあたりが参考になるかと思います。
一般的に、0~7文字はクラックされやすいので、8文字以上のパスワードをつけましょうと言われますが、僕の周りでは大体パスワードは8文字なんですよね。

確かに時間はかかるのかもしれませんが、
ほぼ8文字とわかっていれば0~7文字で解析する時間が短縮されますよね。

他には、辞書に載っているような単語をまとめた単語リストと呼ばれるのがネット上のいろんなところに公開されています。
この単語リストを利用して、パスワードを叩いていきます。

一般的なクラッカーは踏み台を利用する

クラッカーはどこかのサーバを踏み台にして叩くらしいので、
一度他のユーザでログインしてからルートパスワードを盗むと思います。
ルートが乗っ取られると何をされても仕方ないのでしっかり対策しましょう。

ユーザ名とパスワードが同じなんてこともありがちなので、
ドキッとされた方はセキュリティには十分ご注意を。会社名とかね。

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
何かぼんやりと勉強会をしたいなぁと思っています。
ネタ募集中です。
関西で開催する予定ですので、関西の方はお楽しみに!
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

コメント

コメントを投稿

このブログの人気の投稿

perlのMIME::Liteならメール送信はすぐ書ける。その2

メール送信のモジュールMIME::Liteを利用してそういえばこんなの作りました。のコード。 PHPMailerと比較してPerlは結構コーディングが楽だと感じました。 #!/usr/bin/perl # # $Id: perlmailer.pl 35560 2010-05-29 01:08:30Z watanabefg $ # use strict; use warnings; use Encode; use utf8; use MIME::Lite; use File::Basename; my $mail_from = $ENV{'MAIL_FROM'}; my $mail_to = $ENV{'MAIL_TO'}; my $mail_subject = decode('shiftjis', $ENV{'MAIL_SUBJECT'}); my $mail_body = decode('shiftjis', $ENV{'MAIL_BODY'}); my @mail_attach = (); my $message = MIME::Lite->new( From => $mail_from, To => $mail_to, Subject => encode('MIME-Header-ISO_2022_JP', $mail_subject), Type => 'multipart/mixed', ); # メール本文 $message->attach( Type => 'text/plain; charset="ISO-2022-JP"', Data => encode('ISO-2022-JP', $mail_body), ); # 添付ファイルを取得 if ($ENV{'MAIL_ATTACH'} ne ""){ @mail_attach = split(/\,/, $ENV{'MAIL_ATTACH'}); } if ($#m
続きを読む

GAEでOAuthというかTwitter認証してみた。

イメージ
結構てこずりましたが、Google App Engine for Pythonで OAuth認証というかTwitter認証をしてみました。 Softbankの夏モデル携帯でTwitterが機能の一つとして入っているものが発表され、 これからTwitterの人口はどんどん増えるはずなので、 OpenIDみたいな統合認証のようにOAuthを使えたらなぁという思いでコーディングしてみました。 元ネタは サンプルコードで分かるGAE&Twitter API開発 。 その節はお世話になりました。 oauth.py, simple_cookie.pyなどは上記のリンク先から取得してください。 verify後にリロードするとバグっていたので、self.redirect('/')で直しました。 #!/usr/bin/env python # -*- coding:utf-8 -*- __author__ = "Hironori Watanabe" import time import datetime import logging import os import oauth import wsgiref.handlers from google.appengine.ext import webapp from google.appengine.ext.webapp import util from google.appengine.ext.webapp import template from simple_cookie import Cookies from google.appengine.ext import db _DEBUG = True INDEX_TEMPLATE_NAME = 'index.html' LOGIN_TEMPLATE_NAME = 'login.html' HOME_TEMPLATE_NAME = 'home.html' # twitterのconsumer_keyとconsumer_secret_keyを指定 CONSUMER_KEY = "xxxxx自分のコンシューマキーを入れてねxxxxx" CONSUM
続きを読む

Pray For Japanのまとめページつくりました。

昨日の昼から津波すごい威力だなーと思い、 #prayforjapan の TL を見てました。 朝から @naomi schneider さんから twitter をやっていない方にも伝えたいというメッセージをもらい、 少しでも被災者の方の励みになればと思い、 自己満足かもしれませんが一緒にページを作りました。 Pray For Japan 皆さんRTお願いします!
続きを読む