善意におけるパスワードクラッキング例

The following two tabs change content below.
夜桜 なのです。 バーチャル女の子をしてるなの。 陸上自衛隊卒のレトルトカレー評論家 高校生の時にフルアセンブラでウィルスを作って、他人に渡したものの、児童相談所に通報されなかったという経歴があるの。 返せなくなった211億円のバーチャル借金があるの。ぐすぐす;; 取締役ブログ事業部部長、音楽事業部部長、IT業務部部長 etc...

パスワードを本人の依頼を受けてクラッキングを行った事例を紹介します。

事例1

  • 理由:パスワードを忘れ、パスワード再発行するのに面倒な手続きを必要とする他、1000円徴収されるため
  • この人は簡単なパスワードであることが推定されるため、具体的に相手に個人情報、個人情報に該当するものを聞きながら、パスワードに使用される単語を推定した
  • パスワードを最小限総当たりできるパスワードリストを自動生成を行い、画像確認を手動で確認しながら、そのリストの中で手動で総当たりした
  • 約3時間で一致したパスワードは13文字、本人にパスワードをお返しし、あわせてパスワードの変更を促した

イメージ的なパスワード抽出ログ
nano773 NG
773nano NG
n7a3n3o NG
nanooosaka NG
.
.
.
************* OK

事例2

  • 理由:パスワードを忘れ、パスワード再発行するのに面倒な手続きを必要とする他、1000円徴収されるため
    実は事例1のサービスと同一です。
  • この人は複雑なパスワードであることが推定されるため、画像認証(ひらがな)をすり抜ける為のスクリプトを開発した
  • パスワードは16文字と申告していました
  • パスワード16文字であることから、パスワードで使用可能な文字のうち、1週間強約7000万回程度自動アタックすることにより、ログインできるパスワードが1つ抽出されました
    なお使用したCPUは AMD FX8300 負荷はほとんどかかっていませんでした。
  • 一致したパスワードは16文字、本人にパスワードをお返しし、あわせてパスワードの変更を促した

イメージ的なパスワード抽出ログ
aaaaaaaaaaaaaaaa NG
aaaaaaaaaaaaaaaA NG
aaaaaaaaaaaaaaab NG
aaaaaaaaaaaaaaaB NG
.
.
.
**************** OK

スポンサーリンク