攻撃手法と対策/パスワードリスト攻撃 のバックアップ(No.1)

概要 Edit

すでに漏えいしているIDとパスワードのリストや、よく利用されているパスワードの辞書を利用してログインできないか試行を行う。

原因 Edit

  1. 簡単(辞書に登録されているよう)なパスワード
  2. IDとパスワードが漏えいしている

対策 Edit

  1. 簡単なパスワードの利用は避け、サイト毎に異なるパスワードを利用する(パスワードの使いまわしはしない)
    人間が覚えられるパスワードの数はたかが知れているので、パスワード管理ツールを利用するのが現実的。ただし、パスワード管理ツールから漏えいする可能性もあり、その場合は無意味。
    また、漏えいが確認された場合にパスワードを変更する、と言う考えもあるが、そもそも漏えいに気づかないケースの方が多いのではないだろうか。情報漏えい発生後、漏えいに気づくまでに要する時間は平均で197日と言うデータもあり、漏えいに気づいた時には手遅れ、と言う可能性も高い(ソース)。
  2. 多要素認証を利用する
    根本的な対策の1つとして、IDとパスワードだけではログインできないようにする多要素認証が存在する。多要素認証を行えば、IDとパスワードが分かっても、他の要素に対応できなければログインできない。ただし、他の要素に対応した攻撃も存在する。
    また、多要素認証を利用できないクラウドサービスも多い。
  3. アクセス元制限を行う
    ログインできるIPアドレスを制限する。IPアドレスが一致していないとログインできない、と言う意味では多要素認証の特殊系と言っても良いかもしれない。