情報セキュリティ講座(116) パスワードの攻撃
ユーザを認証するための、最も基本的な方法は、パスワードによるものです。そのパスワードを知っているということが、本人であることの証拠であるとするわけです。
このパスワードをなんらかの方法で知ることで、認証を突破するのが、パスワードに係る攻撃ということとなります。それには、いくつかの方法があります。
1. ブルートフォース攻撃
考えられるパスワードを、片っ端から試すものです。総当たり攻撃ともいいます。時間と手間をかけて、パスワードを探し当ててしまうもので、推定しやすいパスワードだと、この方法で突破されることもあります。
2. リプレイ攻撃
パスワード等の認証情報を盗みだして、再度そのパスワードでの突破を試みることです。
3. パスワードリスト攻撃
他のサイトで盗み出すことに成功したパスワードを他のサイトでも試すことです。人間の記憶力は、あまり多くのことを覚えられないので、同じパスワードをいろいろなところで使ったりします。この弱点を突いて、一つのパスワードをいろいろなサイトに試すことで、次々と突破してしまうものです。
4. レインボー攻撃
パスワードがハッシュ値で保管されている場合、パスワードとハッシュ値の組み合わせを一覧表にしておいて、ハッシュ値からパスワードを推定するものです。
パスワードを突破されないよう、定期的にパスワードを変更することが一般的に推奨されてきました。しかしこの方法は、むしろ推定しやすいパスワードになりやすいという欠点があります。そこで、現在では、定期的に変更するよりも、「複雑で長い」パスワードを設定する方がよい、と言われています。
また、パスワードだけではなく、スマホやメールなどとの組み合わせによる、2要素認証(複数要素認証)などで、パスワードの攻撃に対処することが推奨されています。