個人利用・法人利用に限らず、コンピュータの仕事を志すものにとって、セキュリティの維持は、何より優先するべき大事な問題です。万が一、社内の機密情報を盗まれでもしたら莫大な損失が発生するだけでなく、企業としての信用も失墜してしまいます。
大事な情報を守るための最後の砦、パスワードについて、それを守るために皆さんはどのような対策を取っているでしょうか?
今回は、攻撃方法から見た対策についてご紹介します。

 

ブルートフォースアタック

別名「総当たり攻撃」とも呼ばれる、最も古いタイプの攻撃方法の一つです。コンピュータを使い数字やアルファベットを無数のパターンで入力させ、パスワードの突破を目指すというものです。
設定されているパスワードが単純なものほど効果が高く、例えば「abcd」や「1234」のような英字・数字のみや連番のパスワードが推奨されないのは、こうした攻撃方法を警戒していることが理由です。

対策は簡単で、アルファベットと数字を組み合わせ、長めのパスワードにすることです。そうすることで、もし仮にこの攻撃の対象になったとしても、実際に被害に遭う可能性を限りなく低くできるでしょう。

 

パスワードリスト攻撃

あるサービスで流出したID・パスワードの組み合わせを、他のサービスで試行してみるタイプの攻撃方法です。複雑なパスワードを設定している人にありがちな話ですが、自分自身がパスワードを忘れないようにするため、いくつものサイトでアカウントやパスワードを使い回しにすることは、良くあります。

この攻撃の恐ろしい点は、いかに複雑なパスワードを設定していたとしても、一つ流出してしまえば被害が一気に拡大してしまう点です。そうならないように、設定するアカウントやパスワードは、サービスの一つ一つで変えていくのが理想です。

 

レインボー攻撃

企業はユーザーが設定したパスワードを管理する際、そのままの値で保管しておくことはあまりありません。大抵の場合はハッシュ値と呼ばれる復元可能な文字列に変換して管理しており、流出した場合への対策を行っています。

しかし、このハッシュ値化する方法も万全ではなく、レインボー攻撃と呼ばれる方法があります。これは予め流出したハッシュ値をデータベース化しておき、パスワードになりそうな文字列と比較させ、解読を目論むものです。

しかも単純な比較ではなく、複数の方法を経た複雑なパターンで効率化しているため、解析そのものには多くの時間を割かない点も、この攻撃方法の利点(ユーザーにとっては難点)でもあります。

対策はこれまでと同じく、複雑なパスワードにすること、他と共通するパスワードは避けることですが、あらゆる攻撃に対する対策の中でも、特に気を付けなければならないことを覚えておかなければなりません。

 

常に最新の対策を仕入れよう

ここまでいくつかの攻撃方法を紹介してきましたが、対策を取っているのはユーザー側だけではなく、企業側だって同じです。例えば一定間隔以上の速度でのパスワード試行を制限したり、ワンタイムパスワードなどの二段階認証の導入がそれにあたりますね。

ですが、ハッキングを試みる側の技術も、どんどん進化していることを忘れてはいけません。

例えば入力回数の上限を決める方法は、総当たり攻撃を防ぐためには優れた方法ですが、近年では「パスワードスプレー」と呼ばれる、試行の度に攻撃先のアカウントを切り替え、「不正アクセスを試みていること」自体が発覚しないようにした手法も現れました。

大事なことは、その時々の最新技術にアンテナを張り、万全の守りを維持することなのです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください