総当たり攻撃にかかる最大時間について検証

今回は「総当たり攻撃のパスワード解読最大時間」についてご紹介致します。

パスワードのみとしアカウント名の特定は計算外とします。

また、1秒当たり「100」回のパスワード試行が行われたと仮定した計算となります。

本計算は教育用の値となっており攻撃を肯定する記事ではございません。

また下記はあくまでも計算による値となっており、実際の攻撃とは異なる場合がございます。

数字のみの場合

以下は数字のみでパスワードを作成した際のシミュレーション値です。

パスワード桁数	パターン数	最大解読秒
1	10	0秒
2	100	1秒
3	1000	10秒
4	10000	100秒
5	100000	1000秒
6	1000000	10000秒
7	10000000	100000秒
8	100000000	1000000秒
9	1000000000	10000000秒
10	10000000000	100000000秒
11	100000000000	1000000000秒
12	1000000000000	10000000000秒
13	10000000000000	100000000000秒

アルファベット＋数字

以下はアルファベット(大文字、小文字)と数字にてパスワードを作成した際のシミュレーション値です。

パスワード桁数	パターン数	最大解読時間 (年)
1	62	0.0000196
2	3,844	0.00122
3	238,328	0.0755
4	14,776,336	4.68
5	916,132,832	290.3
6	56,800,235,584	18,000
7	3,521,615,581,408	1,116,000
8	218,340,105,584,896	69,200,000
9	13,540,472,610,643,552	4,300,000,000
10	839,299,365,868,340,224	266,000,000,000
11	52,037,316,702,696,552,448	16,500,000,000,000
12	3,226,266,762,397,899,821,056	1,020,000,000,000,000
13	200,028,539,268,669,788,905,472	63,400,000,000,000,000

アルファベット＋数字＋記号

以下はアルファベット(大文字、小文字)と数字と記号にてパスワードを作成した際のシミュレーション値です。

パスワード桁数	パターン数	最大解読時間 (年)
1	94	0.0000298
2	8,836	0.00280
3	830,584	0.263
4	78,074,896	24.8
5	7,334,938,224	2,320
6	689,869,781,056	218,000
7	64,847,472,418,264	20,600,000
8	6,091,659,409,316,816	1,930,000,000
9	572,611,689,676,056,704	181,000,000,000
10	53,826,499,942,539,330,176	17,100,000,000,000
11	5,059,689,994,598,696,635,744	1,600,000,000,000,000
12	475,611,859,091,678,488,760,576	151,000,000,000,000,000
13	44,704,713,154,617,779,942,492,544	14,200,000,000,000,000,000

おすすめの対策方法

総当たり攻撃の対策方法として主要な物は以下となります。

• パスワードポリシーの実施
• アカウントロックアウト機能
• 二要素認証
• reCAPTCHAの実装
• IPアドレス制限

気軽に対策できる方法として「Fail2banの導入」があります。

導入方法についてはQiitaにて解説しておりますのでご確認よろしくお願い致します。