デジタル アカウントにアクセスするには、通常、パスワードまたはパスフレーズが必要です。ただし、実際のロックの鍵が常に強力であるとは限らないのと同様に、すべてのパスワードが安全であるとは限りません。オンライン防御を強化するために、セキュリティ専門家はパスワードをより安全にするためのさまざまな技術と方法を開発しました。これらの方法には、ハッシュ、ソルティング、ペッパーリング、キーストレッチなどが含まれます。以下では、キー拡張の重要性と、キー拡張によってオンライン セキュリティがどのように大幅に向上するかを見てみましょう。
キー拡張機能とは何ですか?
暗号化技術としてキー拡張を使用すると、特に元のパスワードがブルート フォース攻撃や辞書攻撃などの攻撃に耐えられるほどランダムでない場合や長さが十分でない場合に、パスワードとパスフレーズのセキュリティを強化できます。全体として、キー拡張はパスワードまたはキーを複数回ハッシュすることにより、より強力なセキュリティを実現します。
キー拡張 (キー強化とも呼ばれます) では、通常、比較的弱い短いパスワードまたは暗号化キーに暗号化関数またはアルゴリズムを適用して、より強力で長いキーを生成します。新しく生成されたキー出力は後続の入力として使用され、必要なキーが出力できるまでこのプロセスが繰り返されます。基本的に、この目的は、攻撃者が元のキーのハッシュ化または暗号化されたバージョンを取得した場合でも、元のキーを回復できるようにすることですが、これには多大な計算コストと時間が必要です。
現在、キーの拡張は、オンライン アカウント、金融取引、データ保護など、高度なセキュリティ要件が必要なアプリケーションで重要な役割を果たしています。これは、保存されたパスワードと暗号化キーのセキュリティを確保する上で重要な部分であり、最終的にはユーザー アカウントとデータの信頼性を確保します。
キー拡張はどのように機能しますか?
キー拡張がどのように弱いパスワードを強力で安全なパスワードに変えるかを理解するために、簡単な例を見てみましょう。「iloveyou」のような一般的なパスワードがあると想像してください。したがって、攻撃者にとって、パスワードは秘密とは言えない可能性があります。彼らは単語リストや辞書をブルートフォースクラッキングすることで、この「ドア」を簡単に開けることができます。実際、攻撃者がアカウントをクラックしてアクセスするのに要した時間はわずか 30 秒です。
次に、キー拡張により、この脆弱なパスワードをハッシュして、より長く複雑なパスワードが作成されます。たとえば、「iloveyou」は「e4ad93ca07acb8d908a3aa41e920ea4f4ef4f26e7f86cf8291c5db289780a5ae」になります。ただし、拡張プロセス全体がそこで終了するわけではありません。
新しいパスワードは再度ハッシュされ、「bc82943e9f3e2b6a195bebdd7f78e5f3ff9182ca3f35b5d415cf796ab0ce6e56」になります。
さらにハッシュ化を続けると、「46e95d6374c00c84e4970cfe1e0a2982b2b11b1de9343a30f42675a2154a28f5」が得られます。同様に、この操作は必要に応じて何度でも実行できます。
では、プロセス全体を実装するにはコードを最初から作成する必要があるのでしょうか? 明らかに必要ありません。業界には、面倒な作業を代行してくれるキー拡張用のコード ライブラリがすでに存在します。その中で、より一般的で人気のある鍵拡張アルゴリズムは、PBKDF2、scrypt、Argon2、および bcrypt です。その中でも、bcrypt と PBKDF2 が最もよく知られています。
具体的には、bcrypt は複数ラウンドのハッシュに ブグ パスワードを使用するため、パスワードを安全に保つための確実な選択肢となります。PBKDF2 (パスワードベースのキー導出関数、パスワードベースのキー導出関数 2) は、キーまたはパスワードのセキュリティを強化するもう 1 つの信頼できるオプションです。これらのツールを使用すると、最も弱いパスワードであっても不正アクセスから厳重に保護されます。
キーの拡張とソルティング
キー拡張とソルティングはどちらもパスワード セキュリティの分野で重要なテクノロジであり、パスワードの強度を高める上でそれぞれ独自の役割を果たします。
前述したように、キーの拡張には基本的にパスワードのハッシュ化が複数回行われ、弱いパスワードがより安全なバージョンに効果的に変換されます。したがって、実行回数が多ければ多いほど、パスワードはより安全になります。パスワード ソルティングは、追加の防御層を提供します。ハッシュ プロセスを適用する前に、パスワードにさまざまな文字の文字列を追加する必要があります。つまり、複雑さを加えてパスワードを強化します。
実際には、これら 2 つの手法を組み合わせて使用すると、パスワードの全体的な強度を高めることができます。ただし、ソルティングは後付けではなく、ハッシュ化される前に弱いパスワードを強化するために最初から組み込む必要があることに注意することが重要です。基本的に、キーの拡張とソルティングは共同チームのように機能し、連携して機密情報をさらに保護します。
キー拡張の重要性
キー拡張は、パスワードベースの暗号化および認証システムで一般的に使用されます。これにより、脆弱なパスワードや推測しやすいパスワードのリスクが軽減され、攻撃者が元のパスワードのハッシュ化または暗号化されたバージョンを取得した場合でも、計算コストのかかる元の情報を回復することが困難になります。保存されたパスワードや暗号化キーの保護など、さまざまな実用的なアプリケーション シナリオでよく使用されます。以下に、キー拡張の 4 つの典型的なセキュリティ機能をまとめました。
- セキュリティの強化: キー拡張の主な目的は、パスワードまたは暗号化キーのセキュリティを大幅に向上させることです。これは、弱くて簡単に推測できるパスワードを、総当たり攻撃や辞書攻撃などの攻撃に対してより耐性のある強力で複雑なキーに変換することによって行われます。
- レインボー テーブルとの戦い: レインボー テーブルは事前計算テーブルとも呼ばれます。このタイプのテーブルは、事前に生成されたハッシュ化パスワード対応テーブルです。攻撃者はこれらを使用して、対応するパスワードをすばやく見つけることができます。ソルティングやキー拡張などの方法により、このようなテーブルが無効になる可能性があります。
- 弱いパスワードの影響を軽減する: 実際の運用では、ユーザーは通常、覚えやすいが攻撃に対して脆弱な弱いパスワードを選択します。キーストレッチにより、ユーザーとサービスの間に追加のセキュリティ層が提供されます。
- 攻撃者の速度を低下させる: キー拡張の複雑な計算により、攻撃者のパスワード解読能力が大幅に低下します。明らかに、反復が追加されるたびにクラッキング プロセスに時間がかかるようになり、攻撃者の阻止につながります。
暗号強化テクノロジーを使用して資産のセキュリティを確保する
パスワードはセキュリティの最前線ですが、単純すぎると解読されるのは時間の問題です。現在、攻撃者はますます巧妙化しており、クラッキングのレベルは増加し続けています。したがって、この「いたちごっこ」で先を行きたい場合は、キー処理メカニズムが「もう 1 歩進む」必要があります。たとえば、前述のキー拡張、ソルティング、ドーピングなどの高度なテクノロジーを使用すると、ユーザーが脆弱なパスワードを潜在的な脅威に対する強力なシールドに変換するのに役立ちます。