情報セキュリティ講座(116)　パスワードの攻撃

ユーザを認証するための、最も基本的な方法は、パスワードによるものです。そのパスワードを知っているということが、本人であることの証拠であるとするわけです。

このパスワードをなんらかの方法で知ることで、認証を突破するのが、パスワードに係る攻撃ということとなります。それには、いくつかの方法があります。

1. ブルートフォース攻撃
考えられるパスワードを、片っ端から試すものです。総当たり攻撃ともいいます。時間と手間をかけて、パスワードを探し当ててしまうもので、推定しやすいパスワードだと、この方法で突破されることもあります。

2. リプレイ攻撃
パスワード等の認証情報を盗みだして、再度そのパスワードでの突破を試みることです。

3. パスワードリスト攻撃
他のサイトで盗み出すことに成功したパスワードを他のサイトでも試すことです。人間の記憶力は、あまり多くのことを覚えられないので、同じパスワードをいろいろなところで使ったりします。この弱点を突いて、一つのパスワードをいろいろなサイトに試すことで、次々と突破してしまうものです。

4. レインボー攻撃
パスワードがハッシュ値で保管されている場合、パスワードとハッシュ値の組み合わせを一覧表にしておいて、ハッシュ値からパスワードを推定するものです。

パスワードを突破されないよう、定期的にパスワードを変更することが一般的に推奨されてきました。しかしこの方法は、むしろ推定しやすいパスワードになりやすいという欠点があります。そこで、現在では、定期的に変更するよりも、「複雑で長い」パスワードを設定する方がよい、と言われています。

また、パスワードだけではなく、スマホやメールなどとの組み合わせによる、２要素認証（複数要素認証）などで、パスワードの攻撃に対処することが推奨されています。