“12文字”未満は要注意 パスワードクラックする「レインボーテーブル」とは？：上手なパスワードの使い方【中編】

テクノロジーの進歩に伴いパスワード解読されるリスクが高まっている。そのために攻撃者が悪用している「レインボーテーブル」とはどのようなものか。

[Sharon Shea, Randall Gamby，TechTarget]

　パスワードは認証方法として広く普及しているものの、セキュリティに関してさまざまな課題を抱えている。アプリケーションやOSはパスワードを平文では保存しない仕組みを採用するようになっている。これはユーザーがパスワードを新たに設定すると、そのパスワード用文字列に暗号化アルゴリズムを適用し、パスワードを表す個別のハッシュ値を生成して保存する仕組みだ。ユーザーがパスワードを入力すると、システムはパスワードとそれを暗号化した文字列のハッシュ値を生成する。この値を先に保存したファイルに記載されているハッシュ値と照らし合わせ、入力された文字列が正しいパスワードかどうかを判断する。

併せて読みたいお薦め記事

パスワードが狙われたセキュリティインシデント

• 「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か
• G Suiteで判明した2つの「パスワード平文保存」問題　何が起きたのか？
• Citrixが「パスワードスプレー攻撃」で不正アクセス被害　なぜ防げなかった？

パスワードの代替手段

• 「パスワード認証」を今すぐやめるべき理由
• 10億台のAndroid端末が「パスワードのない世界」へ　FIDO2取得でログインはどうなる？

　かつてパスワードのハッシュ化の安全性は高いと考えられていた。たとえ攻撃者がパスワードのハッシュ値を記したファイルを入手したとしても、無作為に生成したパスワードを入力した結果をそのハッシュ値と照合することには膨大な量の計算が必要であり、実質的に不可能だったからだ。

「レインボーテーブル」の登場