ウイルス検知ソフトやファイアウォールなど、技術的にどんなに強固な対策を施していても、パスワードが知られてしまえば、これらの防御策は何の意味も持たなくなってしまいます。

特に企業などにおいては、サーバーに限らず、個々のPCも含め、パスワードこそが「最後の砦」なのです。
たった1人の社員のパスワードが破られただけでも、そこから会社全体の管理者権限を奪うことまで出来てしまいます。つまり、1人1人が「管理責任」の意識を持たなくてはならないのです。

実は、パスワードを破るためのツール(ソフトウェアなど)やその方法に関する情報は簡単にネットから無償で手に入るんです。
つまり誰でも簡単にパスワード破りができてしまうんですね。

例えば、セキュリティ関連のツールを紹介している「SecTools.Org Top Network Security Tools」というサイトでは、パスワードを破るためのツールとしてAircrackやCain and Abel、John the Ripperなどが紹介されています。

ちなみに、これらのツールはユーザーのパスワード強度を検査するためにシステム管理者が利用する場合もあり、必ずしも「犯罪」のみに使われるわけではありません。パスワードを破る手法にはいくつかあり、これらのツールはその手法に基づく攻撃を自動的に行なうソフトウェアです。

今回は、一般的によく知られた手法について以下に紹介します。

文字通り、可能性のあるパスワードを1つずつ全て調べて行くもので、時間さえかければ確実に解読できます。

パスワードが充分に長ければ、総当たりにも時間がかかり、解読に数年かかる場合もありますが、短いパスワードでは数時間程度で解読できてしまいます。このことから、短いパスワードが”弱い”とされています。

パスワードに使われる可能性のある単語を収めた辞書データを使って解読を試みるもので、このことから、辞書に載っているような単語をそのままパスワードとして使うのは危険 (=弱い) とされています。

総当たり攻撃と辞書攻撃を組み合わせたハイブリッドで、辞書にある単語やフレーズをもとに、そこにいくつかの文字を加えるなど、様々な組み合わせを試みます。

基本的には総当たり攻撃と同じですが、より効率的かつ高速に行なうために、あらかじめ「レインボーテーブル」と呼ばれる暗号化されたパスワード(パスワードハッシュ)と平文(暗号化されていない生の)パスワードのマッピングデータを使うというものです。