IDとパスワード

カテゴリ: 今月のヒヤリ

「パスワードは○文字以上で設定してください・」
「パスワードには大文字・小文字・数字・記号のうち数種類を使用してください。」
「定期的にパスワードを変更してください。」

 

皆さんは、何かしらのアカウントを作成する際に、
よくこんなことを言われたり見かけていたりしていると思います。

 

簡単で覚えやすい方がログインする時に楽だからいいのに
なぜ、そんな複雑なことしなきゃならないのか?と疑問に思ったことはありませんか?

 

言われたからなんとなくやっている人も多いと思います。
今回はこれらの対策でどんな攻撃が防げるのかご紹介したいと思います。

 

・総当り攻撃(ブルートフォースアタック)
単純に力任せにログインしまくります。
IDを固定していろんなパスワードを試し、その名の通り総当りでログインを試みる手法です。
最近は、一定時間のログイン回数を制限しているところが多く見受けられますが、 ○回以上間違えたらアカウント数時間ロックされたりするのは総当りを防ぐためのものですね。

 

・逆総当り攻撃(リバースブルートフォースアタック)
名前の通り総当り攻撃の逆パターンです。
何が逆かというと、固定するのがIDではなくパスワードの方であることです。
これにより、総当り攻撃の対策である○回以上間違えたらロックという対策では防ぐことはできなくなりました。
IDが違うので試行回数はIDごとに一回ずつになりロックされません。
パスワードを定期的に変更して対策しましょう。

 

・辞書攻撃
パスワードを作成する人は、「q3Eq!m12a」みたいな意味のない文字列にするより「japan2017]みたいな
覚えやすい意味のある英単語を使用するほうが多いと思います。
これは辞書に載っているような英単語を使用してパスワードを作成してログインを試みる手法です。
覚えにくいとは思いますが、英単語や人名など意味のあるパスワードにしないことをお勧めします。

 

・パスワードリスト攻撃
世の中には多くのサービスがあり、それぞれにアカウントを作成することがありますよね。
そのサービスの中には不正ログインの対策が弱いものもあると思います。
そういったところから取得したIDとログインをセットでリスト化し他のサービスにログインを試みる手法です。
複数のサービスでアカウントのIDやパスワードを全部一緒にしているとひとつでもログインを突破されたら
他のサービスでも不正ログインされる可能性が非常に高まります。
これも覚えにくいとは思いますが、IDとパスワードもアカウントごとに違うものを設定しておくことをお勧めします。

 

私の友人が不正ログインされることもあってこういったことは身近に感じます。
オンラインゲームで装備売られたーなんて悲痛な声も耳にしました。
SNSでは、怪しいサイトのURLをつぶやきで出されたなんてこともあります。
ゲームのアカウントなどは、売れば結構お金になるらしいです。

ニュースで見かけるような何千何万人のデータが流出みたいに大事ではありませんが、
個人レベルでも対策をしておくことがサービスを安全に利用することに必要なことだと思います。