サイバー攻撃(その3)パスワード管理
ID・パスワードの認証情報は第三者に知られるだけで、なりすましによる不正利用が容易に可能になってしまいます。そのために、ID・パスワードを解析して不正に取得をしようとする、次のようなパスワード解析の攻撃方法があります。
- 辞書攻撃:辞書にあるようなよく用いられる単語などの文字列を生成して、手当り次第に試みる攻撃。
- 総当たり攻撃(ブルートフォースアタック):すべての文字列の組み合わせを一つずつ試行していく攻撃
- パスワードリスト攻撃:あるシステムで使用されているID・パスワードのリストを何らかの方法で入手して、そのリストで他のシステムへ不正にログインを試みる攻撃
上記の攻撃からの対策としては、次のような適切なパスワード管理が必要になります。
- 辞書に掲載されるような推測されやすい用語は使用しない
- 文字数や文字種類を増やす
- 所定回数の入力間違いが発生すると、アカウントロックでIDの使用停止、または一定時間使用停止にするように、パスワード入力回数を制限する
- 有効期限を設定し、定期的にパスワードを変更するようにして、パスワード漏洩のリスクを減らす
- 複数のシステムで同じID・パスワードの使い回しをしない
- 2要素認証(パスワード認証以外の認証)を導入する
マイノート(これまでの私の体験・見聞から一言)
現在でもなお、ほとんどのシステムでID・パスワード認証が主流だと思いますが、そのための適切なパスワード管理は昔からある重要な課題の一つだと思います。
パスワードが漏洩しないように、各ユーザに次のような管理が求められますが、現場で徹底することはなかなか容易ではありません。
- パスワードを他人に教えない、または共有しない
- パスワードを紙などに記載しない
- パスワードをPCやサーバのファイルなどにデータ保存しない
有効期限を設定して定期的にパスワードを変更させることも、変更する立場からすると、以前に使用したパスワードとよく似た安易なパスワードを使いがちですので、逆に推測されやすいというリスクがあります。そこで、定期的にパスワードを変更することはやめて、複雑な推測されにくいパスワードを使い続けるほうが安全だという考え方もあるようです。
昨今はID・パスワードを使用するシステムが増えたために、同じID・パスワードを使い回すことが多いと思いますが、このような状況を防ぐために、複数のパスワードを管理するツールを使うことも必要でしょう。ただし、このツールにログインするときにもパスワードが必要だと思いますが、このパスワードが漏洩してしまったら、逆に被害は大きくなってしまいますね。
また、最近の経験では、あるシステムのパスワードが漏洩した可能性が判明したために、急遽2要素認証に切り替えるためのワンタイム認証コードを導入したシステムもありました。
