6つのパスワードハッカーツールとそれらに対する保護方法

パスワードクラッカーは、突破できるユーザー名/組み合わせが表示されるまで、サーバーに繰り返しアクセスするプログラムです。

ハッカーは、無料のBrutus Password Crackerなどのパスワードクラッカーを使用して、企業の機密文書にアクセスします。

ただし、消費者もこれらのツールを使用しています。Webサイトのパスワードを忘れてしまい、確認できる場所がどこにもない場合、アクセスを回復するためにこのようなソリューションを使用することがあるかもしれません。

パスワードクラッキングとは？

< 組織はパスワードの機密性を保つために高度な技術を使用しています。たとえば、判読可能な形式でユーザー名/パスワードをサーバーに保存している企業はほとんどありません。ハッシュを使ってそれらを暗号化し、読み取れないようにしています。パスワードハッカーは、この作業をすべて無効にしてしまいます。

パスワードクラッカーは、複数ある以下のような手法の1つを使用します。

• 辞書検索：既知の単語のリストから始め、正しい組み合わせが見つかるまで一文字ずつ文字を置き換えていくシステムです。
• 類推：総当たり攻撃では、プログラムで考えられるすべての組み合わせが試されます。
• ハイブリッド：パスワードの複雑さに応じて、両方の手法を使用することができるシステムです。

パスワードの解析は、特に、規則によって長い文字列や多数の特殊文字が指定されている場合、何日もかかることがあります。しかし、プログラムを使えばこの作業が非常に簡単になります。

これが、Oktaが安全な適応型多要素認証を推奨する理由です。こうすれば、ユーザーは認証の際に1つの場所で不成功になると全体に影響が及ぶという状況を回避できます。

ユーザーは、Webサイトを特定し、重要な情報をいくつか入力し、プログラムを実行するだけです。プログラムはバックグラウンドで実行され、ユーザーが同じコンピューターで他の作業をしている間も動作を続けます。

パスワードハッカーツール

ほとんどの人にとってパスワードクラッカーを作成することは、コストと時間がかかりすぎる作業となるため、他の人が構築し、試してみたソリューションに頼りがちです。 

他の人が使用し、推奨しているパスワードクラッカーの一例を以下にご紹介します。

1. Aircrack
2. Brutus Password Cracker
3. CrackStation
4. L0phtCrack
5. Ophcrackパスワードクラッカー
6. RainbowCrackWFuzz

これらのツールをダウンロードしてご自身のパスワードに使用することは完全に合法です。いろいろと試してみてください。自分たが安全でプライベートだと思っていたサイトにハッカーが侵入することが、どれほど簡単か、おわかりいただけるでしょう。

ただし、興味をそそられるかもしれませんが、ご自身が所有していないパスワードにこれらのツールを使うことはお控えください。ハッカーの領域に足を踏み入れることになるため、それが原因で法執行機関がご自宅を訪れ、煩わしい質問を受ける可能性があります。

パスワードクラッカーからの保護

パスワードクラッキングツールは、ハッカーのためだけに作られているわけではありません。紛失したり忘れたりしたパスワードを回復するために使用することもできます。また、ハッカーに対して使用することもできます。たとえば、ご自身のアカウントが盗まれた場合、ツールを使ってこれを取り返すことができます。 

しかし、パスワードクラッカーを念頭に置いておくことは賢明なことです。このようなツールの仕組みがわかるほど、ご自身の情報をより適切に守れるようになります。

まずはパスワードの強度から始めましょう。従うべきルールがいくつかあります。

• 推奨： パスワードを長くしましょう。できれば8文字以上を目指しましょう。
• 禁止：「password」や「1,2,3,4」のような一般的なパスワードは使わないようにしましょう。
• 推奨：「$」や「*」のような特殊文字で、認識しやすい文字を置き換えましょう。
• 禁止： 複雑にしすぎて覚えられないようなパスワードはやめましょう。
• 推奨：工夫を凝らして斬新なパスワードを作りましょう。
• 禁止：ソーシャルメディアで探せば見つけられるような、ペットの名前や住所などの詳細は含めないようにしましょう。

パスワードの使用方法についての特定の規則を設けている会社もあります。気が進まない場合でも、そのガイドラインには慎重に従いましょう。どうしても良いパスワードを思いつかない（または覚えられない）場合は、パスワードツールを検討してください。

完璧なパスワードが作成できたら、次はその保管方法を考えます。ハッカーが見つけられるような場所にマスターパスワードリストを保管しないようにしましょう。たとえば、2021年に2,600万件以上のログイン情報が漏洩した事件では、多くの被害者がすべてのパスワードをテキストファイルに保存していたことが研究者の調査で明らかになりました。このようなことはやめましょう。

パスワードは、貴重で替えのきかない資産だと考えましょう。誰とも共有せず、ハッカーが見つけて盗める場所に放置しないようにしましょう。 

参考文献

Mystery Malware Steals 26M Passwords From Millions of PCs. Are You Affected?（2021年6月、Ars Technica）