Web Application

ブルートフォース攻撃

例えば、ログイン画面でパスワードを手当たりしだい入力してログインを試みる攻撃です。
※パスワードを固定してユーザIDを推測するのを、リバースブルートフォースと呼びます。

通常、ユーザIDやパスワードの文字種や桁数は限定されているので、理論的には機械的にすべての文字種の組み合わせを設定された桁数で次々に入力すると、いつかは正規のユーザIDとパスワードの組み合わせを発見できてしまいます。
ただ、現時点で、現実的な時間で解析できるのは、4~6桁程度の少ない桁数、かつ、数字のみや大文字のアルファベットのみといった、限定的な桁数や文字種の場合です。

対策

以下のような対策方法があります。

ユーザIDやパスワードの規則を強化

  • 桁数
    • 最低でも8桁以上を強制してください。推奨は12桁以上です。
  • 文字種は以下の4種類を必ず含むように強制してください。
    • 数字
    • 大文字のアルファベット
    • 小文字のアルファベット
    • 記号

ユーザIDを含むパスワード禁止

  • どんなに文字種や桁数の規制を強化しても、ユーザIDと同一、もしくはユーザIDを一部に含むパスワードを設定されては意味がありません。

辞書攻撃対策

  • 辞書に載っている単語や、新聞、雑誌、ネット上で一般的な用語を設定できないようにしてください。

パスワードについて

  • 定期的な変更
    • ひとつのパスワードをいつまでも使用するのではなく、1~2ヶ月に1度、ユーザに強制的に変更させてください。
  • 変更禁止期間
    • パスワード変更直後に元のパスワードに戻せないようにするため、変更禁止期間を設けてください。
  • 変更履歴管理
    • 過去数回の変更履歴を管理し、1、2回前に設定したことのあるパスワードを受け付けないようにしてください。

アカウントロックする。

  • 認証の際、特定の回数ユーザIDやパスワードを間違えてしまうと以降の入力を受け付けないようにしてください。

参考

与太話


Reload   Unfreeze Diff Copy Rename   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes