行政書士とブロックチェーン⑨
ハッシュ値はありがちなパスワードを危険晒す。
ありがちなパスワードをハッシュ関数でハッシュ値にあらかじめ作っておく方法が危険なのである。
たとえば、一般的なキーボード2段目左から順に押して作った文字列qwertyuiopは、パスワードを真面目に考えたくない人達にとても人気がある。ある得べきすべてのパスワードに対応するハッシュ値を計算してあらかじめ作っておくのである。いわゆるレインボー攻撃である。調査会社が[よくつかわれるパスワードランキング]を発表しているのでそのデータを使用すれば、簡単にありがちなパスワードのハッシュ値を誰でも使えるMD5関数で作れるので、パスワードのハッシュ値をあらかみ作っておいても、ありがちなパスワードは簡単に破られてしまう。
攻撃者がレインボー攻撃などやりたくなくなるような長大でころころ変更されるようなパスワードを用意すればよいのだが、たいていの人はそんな面倒くさいことはしないので、レインボー攻撃はパスワード破りとして有効な方法なのである。結論としては、パウスワードをハッシュ値にする方法は完璧ではないのである。