Brute Force Attack

Web Application

ブルートフォース攻撃（総当たり攻撃）

例えば、ログイン画面でユーザIDを固定した状態でパスワードを次々に変更することによりログインを試みる攻撃をブルートフォース攻撃（総当たり攻撃）と呼びます。
※逆に、パスワードを固定してユーザIDを次々と変更してログイン試行する攻撃をリバースブルートフォース攻撃と呼ぶ場合があります。

通常、ユーザIDやパスワードの最大文字種や最大桁数は限定されているので、理論的には機械的にすべての文字種の組み合わせを設定された桁数で次々に入力すると、いつかは正規のユーザIDとパスワードの組み合わせを発見できてしまいます。
ただし、現実的な時間で総当りが可能なのは、4～6桁程度の少ない桁数、かつ、数字のみや大文字のアルファベットのみといった限定的な文字種の場合です。

対策

ユーザIDやパスワードの規則を強化

• 桁数
  • 最低でも8桁以上を強制してください。
• 文字種は以下の4種類のうちの3種類を必ず含むように強制してください。
  • 数字
  • 大文字のアルファベット
  • 小文字のアルファベット
  • 記号

ユーザIDを含むパスワード禁止

• どんなに文字種や桁数の規制を強化しても、ユーザIDと同一、もしくはユーザIDを一部に含むパスワードを設定されては意味がありません。

アカウントロックする。

• アカウント認証の際、ユーザIDとパスワードの組み合わせを規定回数以上間違えた場合に、一定時間（10分程度）ログインできないように制御してください。

参考

• セキュリティ用語事典[ブルートフォースアタック]
• 第17回 失敗しないパスワード管理（前編）：ITpro
• パスワード・クラック：ITpro

与太話

• ブルートフォースアタック