パスワードクラックとは
パスワードクラック(パスワードクラッキング)とは、データの分析(攻撃)によってパスワードを不正に割り出すことです。
近年、個人情報の流出やサイト改ざんなどの被害が増えています。これらの被害が起きる最大の原因は、Webサービス利用者のパスワード管理の甘さです。誕生日、簡単な英単語のような解読されやすいパスワードや、複数のWebサービスで一つのパスワードを使い回すなど、パスワードに対する危機意識が低いユーザーが増えるにつれ、被害も大きくなっていきます。
会員サイトには必ず潜むパスワードクラックの脅威
個人が利用するSNS、ブログ、動画共有サービスなどはもちろん、企業が自社サイト構築に利用するCMSなどのシステムも、パスワードクラックのターゲットとなります。
ポイントカード会員サイト、書籍販売サイト、鉄道会社の会員サイトなど多くのネットショップや会員サイトで、パスワード認証による不正ログイン被害が後を絶ちません。また、企業サイトの構築においてよく利用されているWordPressへのパスワードクラックも起きており、サイトを改ざんされるケースもあります。
パスワードクラックの種類と防御対策
パスワードクラックには3つの種類があります。対策方法とともに詳しく解説します。
すべてのパスワードパターンを試す「総当たり攻撃」
英数字や記号、もしくはそれらをあわせたパスワードのすべてのパターンを入力し、解読する方法です。時間はかかりますが、逆に時間の制約がなければほぼ100%の確率でパスワードは解読されます。
防御対策としては、「パスワードの文字数を増やす」「英数字や記号どちらかではなく、すべての文字種を混在させる」といった方法があります。
登録された単語を利用する「辞書攻撃」
以前は、パスワードを4文字で設定するWebサービスも少なくありませんでした。しかし最近では、パスワードクラック対策として8文字から32文字といった長めの設定が増え、総当たり攻撃では効率が悪いため、続いて考案されたのが辞書攻撃です。
この攻撃は、ユーザーがパスワードで使いそうな単語を辞書として登録し、その辞書を使い不正ログインを試みます。防御対策としては、アカウントロックが有効です。パスワード入力に連続して失敗するとそのアカウントを一定時間ロックし、ログインできなくしてしまう方法です。
ただしこの方法は、正規のユーザーがパスワードを忘れて何回かログインしようとした場合にもロックがかかってしまうため、2〜3回ではなく5回以上にするなど工夫が必要です。
逆総当たり攻撃と呼ばれる「リバースブルートフォース攻撃」
日本語で「逆総当たり攻撃」とも呼ばれる攻撃で、一つのパスワードでIDを次々と変え不正ログインを試みます。この攻撃は、一つのアカウントに対し1回しか仕掛けないため、アカウントロックは使えません。
そこで防御対策として、ユーザーのパスワード登録時に、パスワード辞書によって強度を確認するパスワードチェッカーを導入しましょう。辞書攻撃で使われる辞書を逆にパスワード強化のために利用することで、よくあるパスワードで登録してしまう危機を回避できます。
完璧な対策はないからこそ二段階認証を!
すべての攻撃に対する共通の防御対策として、長い文字列かつ二つ以上の文字種で、使い回しでないパスワードの設定を促すことが必要です。そのうえで、アカウントロックや強化チェッカーなどを必要に応じて設定します。さらに、ワンタイムパスワードによる二段階認証を導入することで、より安全性が増すでしょう。
以下の記事では、ワンタイムパスワードを導入するためのツールを紹介しています。無料の資料請求も可能なので、ぜひお申込みください。
