パスワードに対する攻撃はパスワードクラッキングといいます。
パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。
パスワードクラッキング手法一覧
名称 | 概要 |
ブルートフォースアタック |
一つのアカウントに対して、パスワードの組み合わせを総当たりで試行する攻撃です。 パスワードに対してアカウントを総当たりで試行する攻撃手法はリバースブルートフォース攻撃と呼ばれます。 |
辞書攻撃 | 辞書や人名リストなどにある単語の組み合わせから、パスワードを推測する攻撃です。 |
リスト型攻撃 | 外部に流出したアカウント情報(リスト)を使用してログインする攻撃です。 |
パスワードスプレー攻撃 |
一般的に使用されるパスワードを使用し、複数のアカウントにログインを試行する攻撃です。 ログイン失敗によるロックを防ぐため、パスワードを変えずに、複数アカウント、複数サイトにログインする攻撃です。 |
類推攻撃 | SNS等にある、個人情報などを手掛かりとしてパスワードを推測する攻撃です。 |
盗聴 | ネットワークを監視し、パケットからパスワードを取得する攻撃です。 |
レインボーテーブル | パスワード候補のハッシュ値をあらかじめ計算し(レインボーテーブル)、取得したパスワードのハッシュ値からもとのパスワードを割り出す攻撃です。 |
パスワードクラッキングへの対策
ブルートフォースアタック | 辞書攻撃 | パスワードスプレー攻撃 | リスト型攻撃 | 類推攻撃 | 盗聴 | レインボーテーブル | |
一つの英単語等を パスワードにしない |
○ | ○ | |||||
パスワードの 使いまわしをしない |
○ | ○ | |||||
長いパスワードを使用する | ○ | ||||||
大文字、小文字、記号等を 含む複雑なパスワードにする |
○ | ||||||
多要素認証の利用 | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
複数単語を組みわせた パスワードを設定する |
○ | ○ | |||||
氏名や誕生日等、 自身に関連する情報を パスワードにしない |
○ | ||||||
ログインの通信は暗号化する | ○ | ||||||
一定回数ログイン失敗した アカウントのロック (サービス側) |
○ | ||||||
ソルトを使用した パスワードの保管 (サービス側) |
○ |