ここから本文です

インターネット上のパスワードについて聞きたいのですが、今やそれほど専門知識が...

dajmgjtkqgjm0さん

2014/5/507:00:05

インターネット上のパスワードについて聞きたいのですが、今やそれほど専門知識がない素人でも容易く色んなpass(掲示板の書き込みpassや圧縮ファイルのDLpassなど)を解析し 突破出来るとききました

先日あるネットゲームの八桁パスワードを突破されてしまいまして、すぐに不審に思った運営がロックしてくれたので事なきを得たんですが、正直他の様々なパスワードも怖くてたまりません


仮に半角英数字混在として八文字のpassなら(一般的な家庭用PCでアタックしたとして)どれくらいで突破されてしまうのでしょうか?1ヶ月とかでしょうか?――①

何文字くらいのパスワードなら解析される危険性が著しく下がるんでしょうか?――②

私は今のところ、素人なりにアメーバやGoogleなどのサイトで限界まで(32文字まで打てる場合なら32文字のpassを)且つなるべく複雑に考えて色んなpassを使っているのですが…
世の中何事にも万全が無いのは分かるのですけど、家族もPCを触る機会が増えて来たし、①と②について教えて下さい
お願いします

閲覧数:
146
回答数:
1

違反報告

ベストアンサーに選ばれた回答

lautanxpさん

編集あり2014/5/519:12:44

インターネット上のパスワードを解読する攻撃はオンライン攻撃とオフライン攻撃があります。
オンライン攻撃はパスワードの入力を繰り返して「正解」を当てようとします。
この場合、Passwordとか12345678のようなパスワードを使っていればすぐ攻撃が成功しますが、そうで無い場合は、何度も何度も繰り返して入力することになります。
運営側がまともなら、たとえば10回入力を間違えたら、その後30分はログイン出来ないなどと言う制限を付けています。そうすれば破られるまでの時間は大幅に伸びます。それでも攻撃側が執拗に何日も繰り返せばそのうち「正解」に当たるでしょうが、その前に運営側がまともなら不正な攻撃に気がついて対応するでしょう。

オフライン攻撃とは、パスワードが流失した場合の攻撃です。運営側がまともなら、パスワードは平文(ひらぶん)では保持しません。ハッシュ関数を通してハッシュ化します。
このハッシュ値を元のパスワードに戻し、不正にログインします。

↓の記事に

パスワードの定期的変更について徳丸さんに聞いてみた(1)
http://blog.tokumaru.org/2013/08/1.html
>徳丸: 次に、GPUというグラフィック用のプロセッサが高速演算できることに着目して、ハッシュ値の高速演算をするようになりました。これは約2年前の記事ですが、当時でも1秒間にMD5ハッシュが20億回計算できるとしています。
(中略)
>徳丸: 8桁英数字のパスワードのパターンは218兆通りですから、1秒間に20億回計算できると、約11万秒、すなわち30時間ほどですべてのパターンを試行できることになりますね。
(中略)
>徳丸: パスワードの桁数を増やすことです。パスワードを1桁増やすとパスワードのパターン数は60倍~90倍程度になりますから、8桁のパスワードではなく12桁のパスワードを使うようにすれば、ハッシュの解読の時間は1千万倍以上掛かります。

とあります。また、まともな運営側ならハッシュ化するときにソルト(余計な文字列)を付け加えたり、ストレッチング(複数回ハッシュ化を繰り返す)を行うので、解読までの時間は長くなります。

質問した人からのコメント

2014/5/5 21:50:04

降参 分かり易い解答、どうもありがとうございましたm(_ _)m

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

5文字以上入力してください

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。