この記事では、パスワードクラッキング攻撃とその手口、予防策。現在、パスワードクラッキング攻撃が最も一般的になっています。これらの攻撃は以下によって実行されます。サイバー犯罪者またはハッカーがユーザーのアカウントにアクセスすることを目的としています。サイバー犯罪者がユーザーのアカウントへのサインインに成功すると、ユーザーのアカウントは侵害されます。これで、攻撃者はユーザーのアカウントから必要な情報をすべて取得できるようになります。
攻撃者がこれらの攻撃を実行してユーザーの銀行口座のユーザー名とパスワードを取得する可能性があるため、このような攻撃は非常に危険です。
パスワードクラッキング攻撃とその手口
攻撃者が人のパスワードを推測または発見しようとすることを、パスワード クラッキング攻撃と呼びます。このようなタイプの攻撃は、(攻撃者が銀行の資格情報のクラッキングに成功した場合) 金銭的損失を引き起こす可能性があるため、非常に危険です。パスワードクラッキング攻撃にはさまざまな種類があります。ここでは、ハッカーやサイバー犯罪者がユーザーのパスワードを解読するために使用する方法について説明します。
- ブルートフォース攻撃
- 辞書攻撃
- レインボーテーブル攻撃
- パスワードのスプレー
- フィッシング
- キーロガー攻撃
- マルウェア攻撃
- クレデンシャルスタッフィング
- ショルダーサーフィン
始めましょう。
1]ブルートフォース攻撃
あブルートフォース攻撃は、攻撃者が試行錯誤の方法を使用してユーザーのパスワードを推測しようとする推測ゲームです。これは最も古いパスワードクラッキング攻撃の 1 つですが、サイバー犯罪者によって今でも使用されています。この攻撃は、考えられるすべての組み合わせを試してコンピュータ、ネットワーク サーバー、またはユーザー アカウントの正しいパスワードを見つけるソフトウェアを使用して実行されます。
2]辞書攻撃
辞書攻撃は、攻撃者が辞書にあるすべての単語を使用してユーザーのパスワードを解読しようとするブルート フォース攻撃の一種です。ユーザーの中には、単一の単語を使用してパスワードを作成する人もいます。辞書攻撃では、そのようなユーザーが辞書に載っている最も難しい単語を使用している場合でも、そのパスワードを解読することができます。
3]レインボーテーブル攻撃
レインボー テーブル攻撃は、ハッカーが誰かのパスワードを解読するために使用するもう 1 つの方法です。このパスワードクラッキング方法はハッシュに対して機能します。アプリケーションはパスワードをプレーンテキスト形式で保存しません。代わりに、パスワードをハッシュの形式で保存します。コンピューティングにおいて、ハッシュは固定桁数を持つ文字列です。
アプリケーションはパスワードをハッシュの形式で保存します。ユーザーがパスワードを入力してサインインすると、パスワードはハッシュ値に変換され、保存されているハッシュ値と比較されます。両方のハッシュ値が一致すると、サインインは成功します。
レインボー テーブルは、パスワードの多数のハッシュ値とそれに対応するプレーン テキスト文字を含む事前計算されたテーブルです。攻撃者はこれらのハッシュ値を使用してユーザーのパスワードを解読します。
4]パスワードスプレー
パスワードのスプレーこれは、攻撃者が多くの異なるアカウントで同じパスワードを使用するブルート フォース攻撃の一種です。つまり、この攻撃ではパスワードは一定のままで、ユーザー名は変化します。たとえば、admin@123 というパスワードは、パスワード スプレー法によるパスワード クラックを使用して多数のアカウントで使用できます。通常、デフォルトのパスワードを持つアカウントは、この種の攻撃によって侵害されます。
読む:PowerShell を使用して侵害されたパスワードを見つける方法
5]フィッシング
フィッシングこれは、悪意のある攻撃者がユーザーのパスワードやその他の機密情報を盗むために使用する最も一般的な方法です。ハッカーはフィッシングを利用してユーザーのシステムにマルウェアをインストールし、システムをリモートで制御することもあります。
フィッシング攻撃では電子メールが最も一般的に使用されます。ただし、ハッカーがフィッシング攻撃に使用できる方法は他にもいくつかあります。この攻撃では、ユーザーは電子メールを受信します。このメールは本物のメール、たとえば Gmail からのメール メッセージのように見えます。電子メールには、ユーザーに即時のアクションを強制する次のようなメッセージが含まれています。
あなたのアカウントは最近、ABC の場所にログインしました。そうでない場合は、このリンクをクリックしてパスワードをリセットしてください。
ユーザーがリンクをクリックすると、Gmail を模倣したページが表示され、そこで古いパスワードと新しいパスワードの両方を入力する必要があります。悪意のある攻撃者がパスワードを入力すると、この情報が取得されます。ハッカーはこの方法を使用して、ユーザーの銀行パスワード、クレジット カード パスワード、デビット カード パスワードなどを盗むこともあります。
6] キーロガー攻撃
キーロガー ソフトウェアすべてのキーストロークの記録を保持します。ホストまたはターゲットのコンピュータにキーロガー ソフトウェアをインストールすると、パスワード クラッキングが簡単になります。キーロガーは、キーストロークの情報をサーバー経由でハッカーに送信することもできます。ハッカーがすべてのキーストロークを含むログを取得すると、ユーザーのパスワードを簡単に解読できます。ハッカーは通常、フィッシングを試みてターゲットのシステムにキーロガー ソフトウェアをインストールします。キーロガー検出器何らかの形で保護を提供します。
キーロガーはハードウェアとしても利用できます。 USB フラッシュドライブのように見えます。悪意のある攻撃者は、この USB フラッシュ ドライブを PC の USB ポートの 1 つに挿入して、すべてのキーストロークを記録する可能性があります。気づいたら取り除くことで攻撃を防ぐことができます。ただし、CPU ケースの裏側に挿入されている場合は、通常は気づかれません。
7]マルウェア攻撃
ハッカーは、コンピュータ システムに損害を与える、制御する、機密情報を盗むなど、さまざまな目的でコンピュータ システムにマルウェアをインストールします。マルウェア攻撃ユーザーのパスワードを解読しようとする悪意のある試みでもあります。上記では、ハードウェアおよびソフトウェアとして利用できるキーロガーについて説明しました。それとは別に、ハッカーは他のいくつかの種類のマルウェアを使用してパスワードを盗む可能性があります。
悪意のある画面キャプチャ ソフトウェアは、ユーザーのコンピュータ画面のスクリーンショットを取得し、ハッカーに送信します。悪意のあるソフトウェアの別の例としては、ブラウザハイジャッカー。
8] クレデンシャルスタッフィング
クレデンシャルスタッフィングデータ侵害から資格情報を取得してユーザーのパスワードをクラッキングする方法です。データ侵害が発生すると、何百万ものユーザーのパスワードとユーザー名が盗まれます。これらのパスワードとユーザー名は引き続き、ダークウェブ。ハッカーはこれらの認証情報をダークウェブから購入し、それを使用して Credential Stuffing 攻撃を実行します。
一部のユーザーはすべての Web サイトで同じパスワードを使用します。この攻撃はブルート フォース攻撃の一種であり、そのようなユーザーのすべてのアカウントのハッキングにつながる可能性があります。たとえば、プラットフォーム A 上のユーザーのアカウントがハッキングされ、そのユーザーがプラットフォーム B で同じパスワードを使用していた場合、ユーザー名がハッカーに知られると、ハッカーはプラットフォーム B 上のアカウントを簡単にハッキングできます。
9]ショルダーサーフィン
パスワードクラッキング攻撃を実行するのは、必ずしもハッカーやサイバー犯罪者であるとは限りません。あなたを知っている人があなたのパスワードを盗む可能性もあります。ショルダー サーフィン攻撃は、ユーザーがパスワードを入力するときに、ユーザーに知らせずにキーボードから目を離さない単純なパスワード クラッキング攻撃です。あなたが特定の Web サイトであなたのアカウントにログインすると、その人はあなたの資格情報を記憶し、後でそれを使用して自分のデバイスであなたのアカウントにログインします。
これらは、攻撃者がパスワードクラッキング攻撃を試みるために使用する方法の一部です。では、これらの攻撃を防ぐ方法を見てみましょう。
パスワードクラッキング攻撃の防止
ここでは、パスワードクラッキング攻撃の被害者にならないようにするために講じるべきいくつかの予防策について説明します。
常に長くて解読が困難なパスワードを作成する。通常、長いパスワードを解読するのは困難です。大文字、小文字、特殊文字、数字などを含む、考えられるすべての組み合わせを使用してパスワードを作成します。無料のパスワード生成ソフトウェア強力なパスワードを作成します。
二要素認証を有効にする。サポートされているすべてのアカウントに対して 2 要素認証を有効にすることが最善です。携帯電話番号、別の電子メール アドレス、またはスマートフォン上のプロンプトを使用して、別のデバイスへのログインを許可できます。
信頼できないソースからのリンクは決してクリックしないでください。上記では、ハッカーがフィッシング攻撃によって人々をターゲットにし、資格情報を盗むことを見てきました。したがって、もしあなたが信頼できないソースからのリンクをクリックしないようにする、フィッシング攻撃の被害者になることから身を守ることができます。
URLに注意してください。ウェブサイトの URL を常に確認する資格情報を入力する前に。ハッカーはフィッシング Web サイトを作成して、ユーザーのユーザー名とパスワードを盗みます。これらの Web サイトは元の Web サイトを模倣していますが、ドメイン名は本物の Web サイトとは異なります。 URL を調べることで、フィッシング Web サイトを特定し、元の Web サイトと区別できます。
同じパスワードは決して使用しないでください。多くのユーザーは、すべてのアカウントで同じパスワードを習慣的に使用しています。これも行うと、いずれかのアカウントが侵害されると、すべてのアカウントが侵害されるリスクが高くなるため、問題が発生する可能性があります。
優れたウイルス対策をインストールする。ウイルス対策は、システムをウイルスやマルウェアから保護します。最新の攻撃から身を守るために、システムに優れたウイルス対策ソフトウェアをインストールし、常に最新の状態に保つ必要があります。
これがお役に立てば幸いです。
パスワードクラッキングに対する防御策は何ですか?
パスワードクラッキング攻撃に対する防御策は、長くて強力なパスワードを作成することです。パスワードには、アルファベット (大文字と小文字の両方)、特殊文字、数字、記号などを含むすべての文字を含めてください。
なぜパスワードクラッキングと呼ばれるのでしょうか?
攻撃者が被害者のアカウントにサインインできるように、あらゆる方法を使って正しいパスワードを知るため、これはパスワード クラッキングと呼ばれます。
次に読む:DDoS (分散型サービス拒否) 攻撃と脅威。
