パスワードクラック
パスワードクラック (辞書攻撃・ブルートフォース攻撃・パスワードリスト攻撃)に対抗するために、次の対策を打つ。
辞書攻撃への対策
辞書攻撃(パスワードに単語を使う人が多いことを悪用し、辞書の単語を利用してパスワードを推察する方法)への対策は、以下の通りである。
- パスワードに使用する文字の種類を増やす。英字(大文字・小文字)・数字・記号を交ぜる。
- パスワードを長くする。
- 辞書にある単語を使わない。
ブルートフォース攻撃への対策
ブルートフォース攻撃(パスワードの可能な組合せをしらみつぶしにすべて試す方法)への対策は、以下の通りである。
ロックアウト・アカウントロック
ある回数以上パスワードを誤入力した場合、その利用者IDを使用禁止にする。
ただし、正規の利用者が何回もパスワードを間違えるとログインできなくなるため、ロックされて一定時間が経過すると、ロックを解除するように設定する。 この時間が長いほど、時間当たりの攻撃回数は減り、安全性が高まる。
ロックアウト・アカウントロックは、リバースブルートフォース攻撃※への対策にはならない。
この攻撃は1つの利用者IDについて、何度もログインを試すわけではないので。
※リバース・ブルートフォース攻撃(Reverse Brute Force Attack)は、総当たり攻撃(ブルートフォース攻撃)の一種。リバース・ブルートフォース攻撃では、特定のパスワード(よく使われるパスワード)に対して、大量のユーザー名を試行する。ユーザー名とパスワードを一致させることで、Webサイトやシステムへの不正アクセスを実現する。
パスワードリスト攻撃への対策
パスワードリスト攻撃(利用者ID・パスワードを使い回す利用者が多いことから、あるWebサイトやシステムから流出した利用者IDとパスワードのリストを使って、別のWebサイトやシステムへの不正ログインを試みる攻撃)への対策は、以下の通りである。
システムやWebサイトでそれぞれ異なるパスワードを利用する。つまり、他のシステムやWebサイトで、同じ利用者内 IDとパスワードの使い回しをしない。
パスワードクラック全般への対策
パスワードクラック全般への対策は、以下の通りである。
- システムやWebサイト内で、ログイン履歴を表示する。
- 前回ログインした日時を表示すれば、利用者は、自分のログインでないものを見つけられ、不正ログインの発生状況に気付ける。ログインしたことを通知するアプリ・メール・SMSの内容を利用者が確認する。
リスクベース認証
不正アクセスを防ぐ目的で、普段と異なる利用環境から認証を行った場合に、追加で認証を行うための仕組み。 例えば、認証時の、 IPアドレス・OS・Webブラウザなどが、普段と異なる場合に、攻撃者からのなりすましでないことを確認するため、合言葉による追加の認証を行うこと。
(参考)
情報処理教科書 出るとこだけ!基本情報技術者[科目B]第4版 橋本 祐史 (著) 翔泳社
コメント