[ホーム] > [間違えやすい類語 IT編一覧] > [パスワードを攻撃する6種類の方法]
このページではパスワードを攻撃する6種類の方法に関して説明します。
WebサービスではIDを登録するときに一般的には同時にパスワードを設定します。サイトによってパスワードの複雑さや長さの条件が異なります。どのような攻撃があるかを理解して、複雑なパスワードを設定するよう心掛けるべきです。
(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。
| 説明 | 辞書攻撃 | ブルートフォースアタック | リバースブルートフォースアタック | パスワードリスト攻撃 | ジョーアカウント | プロフィールパスワード推測 |
| 概要 | パスワードとして辞書に載っている単語を片っ端から試す。 | 考えられるパスワードの組み合わせを総当たりで試す。 | パスワードを固定して様々なIDで不正ログオンを試みる。固定するパスワードは良く使われる単語や単純な文字を使用する。 | 他のサービスから流出したID(主にメールアドレス)とパスワードの組み合わせで他のサービスへの不正ログオンを試みる。 | ユーザ名と同じパスワードで不正ログオンを試す。 | SNSのプロフィールから誕生日やペットの名前を組み合わせたパスワードを組み立てて不正ログオンを試みる。 |
| 特徴 | appleやorange など単語に載っている言葉や、apple12345のような単純な組み合わせのパスワードは瞬間的にパスワードが解析される。 | 同じIDに対して考えれるすべての組み合わせを試す。例えばパスワードの条件が英文字小文字のみで8文字など複雑性がない場合はすぐにパスワードが解析される。 | 同じIDで複数のパスワードを試し失敗すると、一般的にアカウントがロックされる。しかしリバースブルートフォースアタックはIDは固定されていないため、何度も失敗してもアカウントロックは発生しない。 | ユーザは複数のパスワードを記憶できないため、サービスごとで同じパスワードを使いやすい。この特徴を利用する。 | 現在ではユーザ名と同じ文字のパスワードを許可するシステムはほとんどない。 | 有名人などのSNSのアカウントが乗っ取られることがある。 |
| 対策 | ユーザは辞書に載っている言葉が含まれるパスワードは使用しない。 | ・大文字、小文字、数字、記号を少なくとも3種類含むパスワードを使用する。 ・パスワードは8文字以上にする。 | ・ユーザは単純なパスワードや辞書に含まれるパスワードを使用しない。 ・システムとしては同一IPアドレスから複数のログイン失敗が発生した場合、(例えユーザIDが違っても)ログインの試行を拒否する。 | ユーザは異なるサービスでは異なるパスワードを使用する。 覚えるのか困難な場合は基本的なパスワードは共通にして、サービスごとに"01"、"02"など末尾に異なる文字列を加えていく。 | 当然だがユーザ名と同じパスワード、あるいはユーザ名が含まれるパスワードは使用しない。 | パスワードに誕生日、ペットの名前、ペットの誕生日、好きなスポートチーム、自分の名前、自分のチーム名、好きなタレント名などを入れない。特にプロフィールに記載している事項に関連する文字をパスワードに設定しない。 |
[ホーム] > [間違えやすい類語 IT編一覧]
,