リレーブログの続きです。前回はこちらで、次回はこちらで更新予定です。
今回のお題はブルートフォースアタック(総当たり攻撃)についてです。
ブルートフォースアタックとは
名前の通り、パスワード等の分からない文字列(数字)に対して総当りを行うことです。
ダイヤル式の鍵とか、パスを忘れても根気強く全ての組み合わせを試せば空きます。
3桁の場合10 ^ 3なので1000回ですね。まあ、5秒で1組できるとしたら5000秒だったら1時間半くらいで空きます。
オンライン上に存在するユーザーパスワードとかで先程と同様の条件だったら、機械的にやればいいのでもっともっと早く解かれますね。
なので、複雑なパスワードにする必要があるわけです。
下にパソコンでブルートフォースを行った場合にかかる時間をまとめた図を引用します。(引用元 : https://cybersecurity-jp.com/column/17426)
これ、2015年なので今はもっと早いでしょう。GPUとか使ったらもっと早くできる。
2019年3月19日に出ているIPAの情報セキュリティ5か条では10文字以上の英数字記号が奨励されています。
短くなければいいというわけではなく、よくあるパスワードは使ってはいけません。
まあ、上記のような制約があればありきたりのパスワードは生まれないでしょう。
これくらいで終わると味気ない気がするので、CTFでの総当り攻撃を行う場面を考えてみたをやっていきます。
PDFのパスワードに対して総当りをやってみた
やってみたといっても今やるわけではありません。やったことがあった。です。
setodaNote CTFのstrong_passwordになります。これ、常設になったらしい?
確か、これは問題文の中にパスワードのルールが書いてあったはずです。
ルールが分かれば10文字超えても総当りは楽になります。
ちなみに最近、パスワードをこういう理由でつけましたという言葉とともにファイルが送られてきましたが一生開けてないです。総当りをしてほしいのでしょうか。
pdfのパス総当りでは、pdfcrackやJack The Ripper + hashcatを用いた方法があります。
使い方は各自で調べてもらえたらなと思います。
基本、CTFで総当りをする機会は少ないでしょう。
今回は以上になります。