ICDロゴ

辞書攻撃 (dictionary attack)

【ジショ・コウゲキ】

最終更新日: 2002/07/17

 システムのパスワードを解析するための手法の1つ。ユーザーがパスワードとして使いそうな文字列(辞書に載っていそうな単語など)を辞書として用意しておき、これらをパスワードとして機械的に次々と指定し、合致しないかどうかを試行することによってパスワードを解析する。

 この際には、辞書の単語をそのまま試すだけでなく、複数の単語を組み合わせたり、単語の文字を逆順に使ってみたり、大文字・小文字や数字・記号を組み合わせたりする。こうした辞書攻撃に強いパスワードにするためには、なるべく長い文字列からなるパスワードを使い、かつ辞書にない単語や、数字や記号などを含む無意味な文字列を組み合わせ、定期的にパスワードを変更するのが有効だとされる。しかしこのような文字列は、人間にとっても覚えにくい。一方でパスワードは、安全性を高めるために、メモを残さないことが推奨されている。このようなジレンマから、覚えやすいパスワードを指定し、また長期にわたって変更しないユーザーが少なくない。このため、辞書攻撃により解析を許してしまうパスワードは現実には少なくないといわれる。

 情報システム側では、一定回数以上、連続して間違ったパスワードが指定されたときには、そのユーザー・アカウントをロック・アウトすることなどで、オンラインでの辞書攻撃からシステムを守ることが可能である。しかしパスワード自体は不明でも、暗号化されたパスワードのデータと、使われている暗号化技術が分かっている場合には、辞書を使って次々に文字列の暗号化処理を行い、この暗号化後のデータと、入手したパスワード・データを比較することで、パスワード文字列を解析するという方法もある。この方法はオフラインで実行できるので、前出のアカウントのロック・アウトなどで防止することはできない。

Copyright (C) 2000-2007 Digital Advantage Corp.

アイティメディアの提供サービス

キャリアアップ