PR
PR
辞書攻撃とは
辞書攻撃とは、あらかじめ集めた英単語や人名、よく使われる文字列を並べた「辞書ファイル」を用い、候補を次々と試してパスワードを割ろうとする手法です。現実によく使われる語に絞るため総当たりより効率が高く、漏えいしたハッシュを解析するオフラインのクラックで多用されます。
狙われやすいのは、単語一語のパスワードや「Word123」「P@ssw0rd」のような定番、誕生日やキーボード配列など規則性のある文字列です。攻撃者は先頭を大文字にする、末尾に数字を足す、aを@に置き換えるといったルールを自動適用し、辞書を変形させながら試行します。
仕組みは、候補ごとに同じハッシュ関数を計算して保存済みハッシュと照合するだけで、オフラインでは毎秒膨大に試せます。対策として、辞書に載る語は避け、十分に長い無作為な文字列や複数の無関係な語を組み合わせた長いフレーズを用い、使い回しをせず多要素認証を併用します。
