【コラム】パスワードクラックとは

    パスワードの解読、不正ログインによるサイト改竄、ユーザ個人情報の窃盗といった被害が増えて来ています。攻撃者はWebサービスでユーザが登録したパスワードや企業サイトを構築するCMSのパスワードを総当たり攻撃、辞書攻撃、リバースブルートフォース攻撃など様々な手段を使い解読し不正アクセスを試みます。
    それでは、パスワードクラックとは一体どの様な攻撃でしょうか。パスワードクラックとはデータの分析によってパスワードを不正に特定することです。先に記述した通り、最近ユーザの個人情報の窃盗やサイト改竄などの被害が増えて来ています。これらの被害が起きる最大の原因はWebサービス利用者のパスワード管理の甘さです。誕生日、簡単な英単語のような直ぐに解読されるパスワードや、多くのWebサービスで一つのパスワードを使い回すなどパスワードに対する危機意識が低いユーザが増えるにつれ、被害も大きくなっています。個人ユーザが利用するSNS、ブログ、動画共有サービス等々はもちろん、企業が自社サイト構築に利用するWordPress等のCMSに至るまで、攻撃者にとってパスワードを使用しログインするサービス全てがターゲットとなります。
ではパスワードクラックとはどの様な攻撃でしょうか。

1) 全てのパスワードパターンを試す総当たり攻撃
    数字や英記号、もしくはそれらを合わせたパスワードの全てのパターンを入力し解読する方法です。時間はかかりますが、時間の制約がなければほぼ100%の確率でパスワードは解読されます。
2) 登録された単語を利用する辞書攻撃
    最近パスワードクラック対策として8文字?32文字といった長めのパスワード設定が増え、総当たり攻撃は孤立が悪いということで考えられたのが辞書攻撃です。この攻撃はユーザがパスワードとして使いそうな単語を辞書として登録し、その辞書を使い不正ログインを試みます。防御対策としてはアカウントロックが有効です。
3) 総当たり攻撃と呼ばれるリバースブルートフォース攻撃
    日本語では逆総当たり攻撃とも呼ばれる攻撃で、一つのパスワードでIDを次々と変え不正ログインを試みる攻撃です。この攻撃では一つのアカウントに対して一回しか攻撃を仕掛けないため、アカウントロックは防御対策とは成り得ません。

全ての攻撃に対する共通の防御対策としては、基本的に長く2つ以上の文字種類で使い回し無しでパスワードを設定することが最低条件となります。更にワンタイムパスワードによる二段階認証/二要素認証を導入することでより安全性が増す防御対策が可能となります。

-> Swivelソリューションはこちらから