最近はBot攻撃、宛先不明メールのリターン攻撃に加え、メールサーバーへのパスワード総当たり攻撃がとても増えています。パスワード解析にかかる時間はどのくらいなのでしょうか。辞書ファイルに載っていない、使い回しされていない、意味のない文字列の並びとして、以下が目安になります。
・8桁で、アルファベット小文字のみ:数秒。
・8桁で、アルファベットの大文字と小文字が少なくとも各1つずつ:数十分。
・8桁で、アルファベットの大文字と小文字と数字が少なくとも各1つずつ:1~2時間。
・8桁で、アルファベットの大文字と小文字と数字と記号が少なくとも各1つずつ:10時間。
サーバー側の反応がそこまで速くなく、かつ、同一ネットワークから何度も間違えるとブロックされるため、突破にはもっと時間がかかるでしょう。ただ、Bot攻撃のように複数ネットワークから行えば、上記の数倍の時間で突破されてしまうでしょう。AIを駆使すればもっと速いのだそうです。なぜなら、覚えやすいパスワードの場合、AIがその傾向を把握し、そこから解析(総当たり)を始めるためです。
ちなみに、16桁のアルファベットの大文字と小文字と数字と記号を少なくとも各1つずつ含む、意味のない文字列の並びの場合、解析には「数万年」かかるという計算結果が出ています。1年に一度更新すれば安心ですね。
もっとも、パスワードを付箋に書いてモニターに貼っていたら何の意味もありません。写真に写り込んだ文字をAIが解析して、辞書ファイルに格納してしまうからです。
著者紹介:安藤究真 Kyuma Ando
サーバー一筋23年。2000年に株式会社チロロネットを創業してレンタルサーバーサービスの提供を開始。2015年にチロロネットベトナムを設立。2018年からはベトナムでもサーバー・クラウドサービスを提供している。
その他のベトナムITコラム
Vol.24|業界はBot攻撃とSPAMで持ちきり、メール信者が多い日本人はどうなる?
Vol.23|航空会社や銀行にDDoS攻撃、攻撃を止める究極の対策とは?
Vol.22|メールの空き容量が一杯に|テト前に備えるボット攻撃対策
