Brute Force

Brute Forceとは何ですか？

Brute Forceはパスワード、鍵、またはパスフレーズを解読するための、文字通りありとあらゆる組み合わせを試す古典的な手法です。スクリプトが一つずつ組み合わせを試し、何かが開くまで続けます。巨大な鍵束のすべての鍵を試すイメージですが、その鍵束は数学でできているようなものです。

Brute Forceの仕組み

手順は次のとおりです。特別な魔法は不要です：

• 対象: 攻撃者はログイン情報、暗号化されたウォレットファイル、または復号するメッセージを選びます。
• 推測: ソフトウェアがパスワードの推測を生成します。単語リストやルールで賢く試す場合もあれば、完全にランダムの場合もあります。
• フィードバック: 各試行は成功か失敗かで返り、スクリプトはそれに応じて調整するか、そのまま継続します。
• 切り替え: サイトがレート制限をかける場合、盗まれたハッシュやキーストアなどのオフラインコピーへ切り替えることがあります。
• 結果: 強力なパスフレーズはBrute Forceを遅らせますが、短いまたは使い回されたものは破られます。

はい、本当にそれほど単純なことがあり得ます。

なぜBrute Forceが重要か

推測によってウォレットが空にされ、NFTの出品が変更され、取引所アカウントが乗っ取られる可能性があるため、注意が必要です。覚えておくべき点をいくつか挙げます：

• 利点: Brute Forceの仕組みを知ることで、実際に効果のある防御策を選択できます。
• 視点: ほとんどのハッキングは映画のような魔術ではなく、パスワードの使い回しや誰かが弱い設定を 悪用する ことによるものです。
• 関連箇所: 取引所のログイン、ウォレットのパスフレーズ、バリデータ鍵、dAppの管理パネルでこの手法が見られます。

Brute Forceの主な特徴

この手法が使われていると分かる特徴：

• 総当たり: 意味を問わず多くの推測を試します。
• 時間: 防御はパスフレーズの長さと乱数性で決まり、感覚では変わりません。
• 速度: オンラインでは速度が制限されますが、オフラインではGPUを使って非常に高速になることがあります。
• 兆候: ログイン失敗の急増やキャプチャの表示はサイトでのBrute Forceを示唆します。

Brute Forceはどのように計算されるか？

作業量は探索空間の大きさと、1秒あたりの試行回数で概算できます。

Total combinations for a given character set and length:

Combinations = S^L

ここで S は文字集合のサイズ、L は長さです。成功までの平均試行回数は組み合わせの約半分です。

Time estimate:

Time = Combinations / GuessesPerSecond

例：英字と数字で約62文字です。長さが10だと 62^10 の組み合わせになり、非常に大きな数になります。非常に速い機材でも人間の注意が持つ時間より長くかかります。

バリエーション

目的は同じで方法はいくつかに分かれます。トレードオフが異なります：

1. 辞書攻撃: 速度のために一般的な単語や流出したパスワードを最初に試します。
2. 資格情報リプレイ: 侵害されたメールとパスワードの組み合わせを再利用してまだ使えるか試します。
3. リバース: 一般的なパスワードを選んで多数のユーザー名に対して試します。
4. マスク: 最初が大文字で最後が数字のようなパターンに制限して推測します。
5. ハイブリッド: 辞書単語に年号や記号を追加するなどルールを組み合わせます。

例

ボットが数千の推測でログインページを叩き、レート制限がかかると、盗まれたウォレットファイルをオフラインでGPUを使って試すことに切り替えます。

豆知識

Brute Forceは暗号技術より古い手法ですが、GPUのおかげで弱いパスワードは週末のプロジェクトになることがあります。あなたのゲーミング用グラフィックカードは古いサーバ群より速く推測できます。

まとめ

長くユニークなパスフレーズ、Brute Forceに強い設定、そして第二の要素があれば安心して眠れます。