1. ホーム
  2. わかる日記
  3. ≫ブルートフォースアタックに注意!アカウント乗っ取り被害に遭いやすい簡単なパスワード25個

ブルートフォースアタックに注意!アカウント乗っ取り被害に遭いやすい簡単なパスワード25個

知らないうちに銀行の口座に誰かがログインしていた。。

パスワードがバレちゃった!

なんてことにならないように注意が必要です。

バレやすい簡単なパスワード例

フォーブスの記事で2017年最も危険なパスワードと題した記事が報じられています。

最も危険なパスワード2017年版 「スター・ウォーズ」が16位に

調査企業「SplashData」が毎年恒例の「最悪なパスワード100」の2017年版を公開した。今年のワースト5は「1232456」「password」「12345678」「qwerty」「12345」だった。

状況は昨年からほとんど変わっていないようだ。

https://forbesjapan.com/articles/detail/19048

SplashDataの分析によると、ネットユーザーの10%近くが上位25位までの最悪のパスワードのうち、どれか一つ以上を使用した経験を持ち、3%近くが「123456」を過去に使用していたという。下記に今年のワースト100のうち、25位までをご紹介する。

1位:123456
2位:password
3位:12345678
4位:qwerty
5位:12345
6位:123456789
7位:letmein
8位:1234567
9位:football
10位:iloveyou
11位:admin
12位:welcome
13位:monkey
14位:login
15位:abc123
16位:starwars
17位:123123
18位:dragon
19位:passw0rd
20位:master
21位:hello
22位:freedom
23位:whatever
24位:qazwsx
25位:trustno1

 

 

簡単なパスワードだとなぜ危ないの?

インターネットを使う人はいろんなサービスを使ってますよね。

Twitter、Facebook、LINE、ネットバンク、金融取引、ウェブサービスなどなど。どんなサービスを使うにもIDとパスワードを使います。

パスワードが簡単に第三者から予測されやすいものだとするると、無作為にかき集めたメールアドレスと組み合わされてログインを試されてしまいます。

こういうのをブルートフォースアタックと言います。

別名「総当たり攻撃」とも言います。

総当たり攻撃とは

総当たり攻撃とは、暗号や暗証番号などで、理論的にありうるパターン全てを入力し解読する暗号解読法。例としては、自転車のチェーンロックやトランクのダイヤル錠を、全ての番号の組み合わせ(4桁なら0000から9999まで)を片っ端から試す方法と同じで、この「片っ端から」で、いずれ正解に行き着こうというものである。

人間による操作では、とても気が遠くなるほどの時間と、肉体的・精神的な負荷がかかるような回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為がコンピュータセキュリティ分野で良く知られている。時間的制約が無い限りは、確実にパスワードをクラックする方法である。

類似する暗号解読方法としては、「人間が発想するパスワード」はワンパターンな事が多いため、予め言葉が予想される候補を優先的に組み合わせて検証していく辞書攻撃等があり、一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

Wikipedia 総当たり攻撃

ブルートフォースアタックの方法

どこかで手に入れたTwitterのIDやメールアドレス

これにパスワード123456を組み合わせる。

 

この組み合わせはメールアドレスが10万個集まれば10万個に対してそのパスワードが使えるかどうか試されます。

つまり、どこかで集めたメールアドレスに簡単なパスワードを組み合わせてログインアタックをされてしまうんです。

メールアドレスをどこで集めるのか?

  • ウェブサービスのハッキング
  • 何らかの無料サイトで収集
  • ウイルス感染による奪取
  • 個人情報リストの購入

などなど、

悪いことをする人は実際に使われているメールアドレスを集めるために色んな方法でデータを収集しています。

便利そうな無料サービスを使う時、いつものメールアドレスとパスワードの組み合わせで使ってしまうと、そのメールアドレスとパスワードの組み合わせが

  • 銀行
  • 金融機関
  • Twitter
  • Facebook
  • などなど

に向かってログインチャレンジされてしまうということです。

パスワード管理方法

  • 簡単に推測されないパスワードにする
  • 無料のサービスなどと金融機関のパスワードは違うものにする

最低限この2つの対策はしておくべきです。

  • Twitterと銀行のID(メールアド)とパスワードが同じ
  • 無料で遊べるゲームサイトのID(メールアドレス)とパスワードが同じ

なんてことにならないように最低限のハッキング対策はしておきましょう。

また、変なウイルス(マルウェア)に感染することでキーロガーなどからログインパスワードを盗み取られることも有るのでウイルス対策にも注意が必要です。

スポンサーリンク
ウイルス対策とセキュリティソフトの必要性

お気づきのことがございましたらシェアをお願いします。

 

うっかりミスのウイルス感染を防ぐ
ウイルスバスター