サイバー攻撃（その３）パスワード管理

ID・パスワードの認証情報は第三者に知られるだけで、なりすましによる不正利用が容易に可能になってしまいます。そのために、ID・パスワードを解析して不正に取得をしようとする、次のようなパスワード解析の攻撃方法があります。

• 辞書攻撃：辞書にあるようなよく用いられる単語などの文字列を生成して、手当り次第に試みる攻撃。
• 総当たり攻撃（ブルートフォースアタック）：すべての文字列の組み合わせを一つずつ試行していく攻撃
• パスワードリスト攻撃：あるシステムで使用されているID・パスワードのリストを何らかの方法で入手して、そのリストで他のシステムへ不正にログインを試みる攻撃

上記の攻撃からの対策としては、次のような適切なパスワード管理が必要になります。

• 辞書に掲載されるような推測されやすい用語は使用しない
• 文字数や文字種類を増やす
• 所定回数の入力間違いが発生すると、アカウントロックでIDの使用停止、または一定時間使用停止にするように、パスワード入力回数を制限する
• 有効期限を設定し、定期的にパスワードを変更するようにして、パスワード漏洩のリスクを減らす
• 複数のシステムで同じID・パスワードの使い回しをしない
• ２要素認証（パスワード認証以外の認証）を導入する

マイノート（これまでの私の体験・見聞から一言）

現在でもなお、ほとんどのシステムでID・パスワード認証が主流だと思いますが、そのための適切なパスワード管理は昔からある重要な課題の一つだと思います。

パスワードが漏洩しないように、各ユーザに次のような管理が求められますが、現場で徹底することはなかなか容易ではありません。

• パスワードを他人に教えない、または共有しない
• パスワードを紙などに記載しない
• パスワードをPCやサーバのファイルなどにデータ保存しない

有効期限を設定して定期的にパスワードを変更させることも、変更する立場からすると、以前に使用したパスワードとよく似た安易なパスワードを使いがちですので、逆に推測されやすいというリスクがあります。そこで、定期的にパスワードを変更することはやめて、複雑な推測されにくいパスワードを使い続けるほうが安全だという考え方もあるようです。

昨今はID・パスワードを使用するシステムが増えたために、同じID・パスワードを使い回すことが多いと思いますが、このような状況を防ぐために、複数のパスワードを管理するツールを使うことも必要でしょう。ただし、このツールにログインするときにもパスワードが必要だと思いますが、このパスワードが漏洩してしまったら、逆に被害は大きくなってしまいますね。

また、最近の経験では、あるシステムのパスワードが漏洩した可能性が判明したために、急遽２要素認証に切り替えるためのワンタイム認証コードを導入したシステムもありました。

もっと詳しく知りたい方へ

情報セキュリティやIT利活用などに関する様々なコンテンツをご用意しています。
・関連ブログ記事
・各種オンラインコース
・Udemyオンラインコース・クーポン
・無料プレゼント（情報セキュリティ関連資料）
皆様のお役に立つ情報をご提供しています。
ぜひ、こちらもご覧ください。

コンテンツを閲覧する