[ホーム] > [間違えやすい類語 IT編一覧] > [パスワードを攻撃する6種類の方法]

パスワードを攻撃する6種類の方法

作成日:2020/01/29

このページではパスワードを攻撃する6種類の方法に関して説明します。
WebサービスではIDを登録するときに一般的には同時にパスワードを設定します。サイトによってパスワードの複雑さや長さの条件が異なります。どのような攻撃があるかを理解して、複雑なパスワードを設定するよう心掛けるべきです。

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明辞書攻撃ブルートフォースアタックリバースブルートフォースアタックパスワードリスト攻撃ジョーアカウントプロフィールパスワード推測
概要パスワードとして辞書に載っている単語を片っ端から試す。考えられるパスワードの組み合わせを総当たりで試す。パスワードを固定して様々なIDで不正ログオンを試みる。固定するパスワードは良く使われる単語や単純な文字を使用する。他のサービスから流出したID(主にメールアドレス)とパスワードの組み合わせで他のサービスへの不正ログオンを試みる。ユーザ名と同じパスワードで不正ログオンを試す。SNSのプロフィールから誕生日やペットの名前を組み合わせたパスワードを組み立てて不正ログオンを試みる。
特徴appleやorange など単語に載っている言葉や、apple12345のような単純な組み合わせのパスワードは瞬間的にパスワードが解析される。同じIDに対して考えれるすべての組み合わせを試す。例えばパスワードの条件が英文字小文字のみで8文字など複雑性がない場合はすぐにパスワードが解析される。同じIDで複数のパスワードを試し失敗すると、一般的にアカウントがロックされる。しかしリバースブルートフォースアタックはIDは固定されていないため、何度も失敗してもアカウントロックは発生しない。
ユーザは複数のパスワードを記憶できないため、サービスごとで同じパスワードを使いやすい。この特徴を利用する。現在ではユーザ名と同じ文字のパスワードを許可するシステムはほとんどない。有名人などのSNSのアカウントが乗っ取られることがある。
対策ユーザは辞書に載っている言葉が含まれるパスワードは使用しない。・大文字、小文字、数字、記号を少なくとも3種類含むパスワードを使用する。
・パスワードは8文字以上にする。
・ユーザは単純なパスワードや辞書に含まれるパスワードを使用しない。
・システムとしては同一IPアドレスから複数のログイン失敗が発生した場合、(例えユーザIDが違っても)ログインの試行を拒否する。
ユーザは異なるサービスでは異なるパスワードを使用する。

覚えるのか困難な場合は基本的なパスワードは共通にして、サービスごとに"01"、"02"など末尾に異なる文字列を加えていく。
当然だがユーザ名と同じパスワード、あるいはユーザ名が含まれるパスワードは使用しない。パスワードに誕生日、ペットの名前、ペットの誕生日、好きなスポートチーム、自分の名前、自分のチーム名、好きなタレント名などを入れない。特にプロフィールに記載している事項に関連する文字をパスワードに設定しない。


[ホーム] > [間違えやすい類語 IT編一覧]
,







【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。