パスゲッター (PassGetter) レビュー

まえがき

情報漏洩リスクもあり、メール添付やオンラインストレージ保管にパスワード付ZIPを活用している方もおられると思います。そのパスワードを忘れてしまった時に役立つのが解析ツール。

Pika ZipLhaplusなどが有名ですが、最近はGPUパワーを活かす解析ツールが登場しています。逆に悪用されることもありますし、どの程度のことができるのか試してみました。

 ⇒ パスゲッター 公式サイト (インターナル)

WindowsとZIPパスワードを解析する パスゲッター (v1.0.0.5)

GPUを活用する無料の解析ツールもありますが、パスゲッターは有料です。
有料の代わりにグラフィカルで、日本語のインターフェイスを備えているのが特徴です。

パスゲッター (PassGetter) Windows パスゲッター (PassGetter) ZIP

CPU・GPUの設定。時間はかかりますが、CPUだけでも解析可能です。

パスゲッター (PassGetter) CPU設定 パスゲッター (PassGetter) GPU設定

テスト用のパスワードZIPを作る

ZIP作成には7-ZIP (v9.20)を使い、暗号はZIPデフォルトの「ZipCrypt」を選択。
パスワードはIDManagerの生成ツールで作成しました。

パスゲッター (PassGetter) パス生成1 パスゲッター (PassGetter) パス生成2

解析してみる (v1.0.0.1を使用)

パスゲッターは辞書アタックも可能ですが、今回は総当たり(Brute Force Attack)で解析。開始後、CPU使用率は100%に貼り付き、GPUも使用率が変動しています。
(使用PCはNEXTGEAR-NOTE i950GA1、GPUは非常に強力です)

GPUGeForce GTX 580M
CPUCore i7-2820QM
ChipsetHM67
メモリ16GB (PC3-10700 SMD-N4G68H1P-13H)
HDDIntel SSDSC2MH120A2 / Samsung HN-M101MBB
ODDHD-DL-ST DVDRAM GT40N

パスゲッター (PassGetter) 使用率

パス発見。このようにパスワードが表示されます。

パスゲッター (PassGetter) 完了

初期バージョンでは「#@.」など一部記号に非対応でしたが、その後のカスタマイズ機能追加で対応。ワンクリックでカバーするインスタント設定が欲しいところです。

またAES256で暗号化されたZIPは解析できません。

パスワード解析予測時間 (v1.0.0.1を使用)

パスワードの桁数による差を調査。GPU有・無で解析時間をグラフ化してみました。

※パスゲッターの予測時間は開始直後は変動が激しいため、6桁は開始1分後、7桁(記号なし)は3分経過後の見積もりを使用。7桁記号あり以上では数日単位になるため、なかなか予測が安定しません。

実際にはパスワードがこの時間内のどこかで見つかるため、より短時間で終わります。

パスゲッター (PassGetter) 時間グラフ

上記の通り 6桁、7桁は簡単に解析が可能です。8桁も数日で解析できそうです。

解析されないためには

対策の基本は暗号をAES256に変えることが推奨されています。総当たりで解析不可能になるわけではないですが、より時間がかかるようになります。

ZipCryptを使う限りにおいては現実的な時間でパスワードが解析できてしまうので、7-ZIPサイトに書かれているように重要データの暗号化にはAES-256が推奨されます。
 → コマンドでZIPや7zにパスワードを付ける | 7-Zip

ただAES256で暗号化すると、Windows標準機能で解凍できなくなり、Explzhなど一部ツールでも解凍できなくなります。慣れた人同士なら「AESで暗号化」で済みますが、PCに不慣れな相手に送る場合、解凍のハウツーを説明する必要が出てきます。
 → Q: AES 暗号化ZIP が「ZIP圧縮フォルダ」で解凍できません。

おまけ Windows上の ●●●●● を見るツール

パスゲッターには Windowsアプリのパスワード「●●●●●」を読む機能もあります。↓

パスゲッター (PassGetter) win app

この機能も初期バージョンではFFFTPやFileZillaなどのパスワードが読めず、PeekPassword+などフリーの解析ツールより劣っていましたが、ver.1.0.0.5にて再確認したところ読めるようになりました(Win7環境にて確認)。

パスゲッター (PassGetter) 買って良かった度

評価 4

初期バージョンの出来が酷く★2にしていましたが、その後の改善を受けて4に変えてます。UIが雑然としている点、ZIPしか対応していない点などが不満ですが、GPU活用のパス解析ツールとして敷居を下げたのは間違いないと思います。

要望としてドラッグ&ドロップ対応、Windowsパス、ZIP、RAR、そしてWirelessKeyView(クラックではないです)のようにWiFiパスもわかる統合パッケージへと進化して欲しいですね。

 ⇒ パスゲッター 公式サイト (インターナル)

関連
 → 「Zipファイルのパスワードを短くするのは危険だよ!」 - RX-7乗りの適当な日々
 → AES 暗号化 ZIP 書庫 の評価 - EverQuestできない日記
 → 無線LANのWPA/WPA2-PSKを総当たりで突破する「Pyrit」 - GIGAZINE
 → 米国で最も多いパスワードは「1234」と「パスワード」: AFPBB News

蹴茶 3Dゲームをノートで