PASSWORD CRACK
SIMULATOR
| GPU | 速度 (H/s) | 相対性能 | 平均突破時間 |
|---|
入力したパスワードは、当サイトで収集していません。しかし、在らぬ疑いをかけられたくありませんので、似たパスワードで実験するようにしてください。例えば本当のパスワードが「12as%」であれば、半角英数字、特殊文字1文字なので、「54tg&」でやっても同じ計算結果となります。
パスワード解析
シミュレーター 使い方
設定項目・結果の読み方・攻撃方式の違いを完全解説
🔍 このツールでできること
パスワードの解析にかかる時間を様々な条件でシミュレーションします
セキュリティ教育・研修用のシミュレーターです
入力したパスワードが、現実の攻撃者によってどれくらいの時間で解析されるかを計算します。GPU性能・ハッシュ方式・攻撃手法・試行速度の組み合わせで、「このパスワードは安全か?」を数値で可視化できます。
パスワード強度を数値化
解析時間を秒・分・年単位で表示
GPU性能で比較
RTX 3060〜RTX 5090まで8種類を網羅
3種の攻撃方式
総当たり・辞書・ルールベースの違いがわかる
試行速度をシミュレート
レート制限ありのオンライン攻撃も再現
このツールはセキュリティ教育・研修専用のシミュレーターです。実際のパスワード解析・不正アクセスへの使用は違法です。表示される解析時間はあくまで理論値の参考値です。
▶ 基本的な使い方(5ステップ)
入力 → 条件設定 → 解析開始の流れで操作します
🔄 操作フロー
🔑 パスワードを入力する
「パスワード」フィールドに確認したいパスワードを入力します。入力すると、小文字・大文字・数字・記号の4種類のバッジがリアルタイムで点灯し、文字種と文字数が表示されます。
🔐 ハッシュ方式を選ぶ
パスワードの保管方式を選択します。NTLMやMD5は旧式で危険、bcrypt・Argon2が現代的な安全な方式です。セレクタの下に説明ヒントが表示されます。
🖥️ GPU・攻撃方式・試行速度を設定する
攻撃者が使うGPUの性能、攻撃方法(総当たり・辞書・ルールベース)、試行速度の上限を選択します。それぞれデフォルト値のままでも十分シミュレーション可能です。
▶ 「解析開始」ボタンをクリックする
緑のボタン「▶ 解析開始 / EXECUTE ANALYSIS」をクリックすると計算が始まります。ターミナル風のアニメーションで処理ログが表示されます。
📊 結果を確認・比較する
解析時間・強度評価・GPU比較表・ハッシュ方式の解説が表示されます。条件を変えて何度でも再計算できるので、パスワードの強化前後を比較してみましょう。
⚙️ 各設定項目の詳細
6つの入力項目それぞれの意味と使い方を解説します
設定は大きく3グループに分かれます
「何を解析するか(パスワード)」「どんな環境で攻撃されるか(ハッシュ方式・GPU・攻撃方式)」「どんな速度制限下か(試行速度・台数)」の3グループです。
パスワード
解析対象のパスワードを入力します。入力すると自動的に文字種(a-z / A-Z / 0-9 / 記号)と文字数が分析されます。実際のパスワードを入れる必要はなく、同じ長さ・構成のテスト用パスワードでもOKです。
ハッシュアルゴリズム
パスワードがどのアルゴリズムで保管されているかを選びます。アルゴリズムによってGPUの解析速度が数百万倍変わります。「どのサービスが何を使っているか」を想定して選択してください。
GPU(グラフィックカード)
攻撃者が使用するGPUを選択します。同じパスワードでも、使用するGPUによって解析速度が数十倍以上変わります。研修では「普及帯のRTX 3060」と「最上位のRTX 4090」を比較すると効果的です。
攻撃モード
どんな戦略でパスワードを試すかを選びます。「総当たり」は全組み合わせを網羅、「辞書攻撃」は単語リストから試行、「ルールベース」は辞書+変形パターンで効率よく攻撃します。詳細はセクション4で解説。
カスタム速度 / GPU台数
カスタム速度は、Hashcat等で実際に計測したH/s(ハッシュ/秒)の値を直接入力できます。GPU台数は、複数のGPUで並列攻撃するシナリオをシミュレートします。たとえば「4090を8台並列」で組織的な大規模攻撃を想定できます。
試行速度 上限
1回/秒〜10万回/秒の上限を設定できます。Webログインフォームへのオンライン攻撃は通常レート制限があるため、現実的なシナリオを再現できます。詳細はセクション5で解説。
⚔️ 攻撃方式の違いを理解する
3つの攻撃方式は「何を試すか」が根本的に異なります
なぜ「総当たりは100万年」なのに「辞書攻撃は一瞬」なのか?
これは矛盾しているように見えますが、計算している「候補数」がまったく違うからです。総当たりはパスワードの全組み合わせを試し、辞書攻撃は固定のリストを試します。どちらの計算も正しく、それぞれ別の状況を表しています。
📊 3つの攻撃方式の比較
| 攻撃方式 | 試行する候補数 | 得意なパスワード | 苦手なパスワード | 現実での使われ方 |
|---|---|---|---|---|
| 🔁 総当たり (Brute Force) |
文字種文字数 例:9512≈5.4×1023 |
どんなパスワードも 理論上は解読可能 |
長いパスワード (現実的に不可能) |
短いパスワードの解析 ベンチマーク計測 |
| 📚 辞書攻撃 (Dictionary) |
約1,000万語 (固定値) |
英単語・日本語単語 一般的な単語 |
辞書にない ランダムな文字列 |
最初の一撃として使用 多くの一般的PW を即突破 |
| 🎯 ルールベース (Rule-based) |
約10億パターン (固定値) |
「P@ssw0rd」「admin123」 単語+記号・数字 |
完全ランダムな 長い文字列 |
実務で最も多く使用 「複雑に見えるPW」を狙う |
「辞書攻撃が速い」の正しい読み方
辞書攻撃の時間は「1000万語のリストを全部試し終える時間」です。あなたのパスワードがそのリストに入っていればその時間で解読され、入っていなければリストを全部試して終わり(失敗)です。シミュレーターはリスト完走時間を表示しますが、「あなたのパスワードが見つかる」とは断言できません。
🚨 ルールベースに引っかかりやすいパスワード例
- Password → P@ssw0rd
- admin → Admin123!
- 会社名 → Company2024!
- 季節 → Spring@2024
- 誕生日混合 → Taro1990!
✅ ルールベース攻撃に強いパスワード例
- 完全ランダム長文字列
- パスフレーズ(無関係な単語の組み合わせ)
- パスワードマネージャー生成のもの
- 16文字以上 + 全文字種使用
⏱️ 試行速度の設定と意味
オンライン攻撃とオフライン攻撃では現実の解析速度が大きく異なります
「試行速度上限」は何を意味するのか?
攻撃には2種類あります。「オンライン攻撃(ログインフォームへの直接攻撃)」は通常レート制限があり1秒に数回しか試せません。「オフライン攻撃(漏洩したハッシュの解析)」はGPUフル性能で何百億回/秒も試せます。この違いをシミュレートするのが試行速度設定です。
📶 試行速度の選択肢と想定シナリオ
| 試行速度 | 想定シナリオ | 現実の用途例 |
|---|---|---|
| 上限なし (GPU速度) |
オフライン攻撃 / ハッシュ漏洩後 | DBから流出したハッシュをローカルで解析 |
| 1回/秒 | 厳格なレート制限 / 人手入力 | ロックアウト機能あり・銀行サイト等 |
| 10回/秒 | Webフォーム攻撃 / 軽度制限 | 一般的なWebサービスのログイン |
| 100回/秒 | API総当たり / 緩めのスロットリング | レート制限の緩いAPI攻撃 |
| 1,000回/秒 | スクリプト攻撃 / 制限の少ないサービス | 古い社内システムへの攻撃 |
| 1万回/秒 | 高速ネットワーク攻撃 | 内部ネットワーク上のサービス |
| 10万回/秒 | ほぼ無制限 / 軽量認証システム | 制限のない軽量認証プロトコル |
制限中バッジと注釈について
試行速度を設定すると、結果の「解析速度」カードに「⏱ 制限中」バッジが表示され、設定した上限速度とハードウェア本来の速度が両方表示されます。GPU比較テーブルには「制限なしの場合の参考値」として注釈が追加されます。
試行速度を1〜10万回/秒に設定した場合、「平均突破時間」が大幅に延びます。ただしこれは「レート制限があれば安全」を意味しません。アカウントロックアウト・多要素認証・パスワード自体の強化を組み合わせることが重要です。
📊 結果の読み方
4つのセクションに分かれて結果が表示されます
🖥️ 結果画面の構成
ANALYSIS LOG(解析ログ)
ターミナル風のログで設定内容と結果の概要が表示されます。解析速度カード・最大/平均突破時間カード・強度バーと星評価が含まれます。試行速度制限中の場合はバッジと制限状況が表示されます。
GPU COMPARISON(GPU比較)
8種類のGPUそれぞれで同じパスワードを解析した場合の時間を比較します。現在選択中のGPUは「▶」マークで強調表示されます。試行速度制限中は「参考値」として注釈が表示されます。
HASH ALGORITHM INFO(ハッシュ解説)
選択したハッシュアルゴリズムの詳細解説と安全性評価が表示されます。危険(赤)・注意(オレンジ)・安全(緑)の3段階でアラートが表示され、推奨アルゴリズムへの移行を促します。
「平均時間」と「最大時間」の違い
平均時間(50%)は「全候補の半分を試したときに見つかる確率50%」の時間です。最大時間(100%)は全候補を試し終えるのにかかる時間です。実際の攻撃では平均時間が目安になります。
🛡️ 強いパスワードのポイント
シミュレーターで確認しながら実践できる強化ポイントを紹介します
このシミュレーターを使った強化確認の方法
現在使っているパスワードと同じ長さ・文字種構成のテストパスワードを入力し、「総当たり」「ルールベース」の両方で解析時間を確認してください。両方で「STRONG」以上を目指しましょう。
長さが最重要
16文字以上を目標に。1文字増えるごとに解析時間は指数的に増加
4種類全部使う
小文字+大文字+数字+記号で文字種を最大化する
規則性を排除
辞書単語・誕生日・会社名など予測しやすいものは避ける
使い回さない
サービスごとに別パスワードを使用し漏洩被害を最小化
パスワードマネージャーの活用が最善策
「覚えられる安全なパスワード」には限界があります。LastPass・1Password・Bitwarden等のパスワードマネージャーを使えば、サービスごとに20文字以上のランダムパスワードを管理できます。マスターパスワード1つを強力にするだけで、すべてのパスワードを安全に管理できます。
このシミュレーターで「総当たり攻撃」かつ「上限なし」でSTRONG以上、さらに「ルールベース攻撃」でも十分な時間が表示されれば、現代的な攻撃に対して十分な強度があると考えられます。定期的に確認してパスワード管理を見直しましょう。
コメント