勉強前イメージ
パスワードのスプレー?
調査
パスワードスプレー とは
よく使われるパスワードを標的に不正アクセスを使用する攻撃方法で
同じパスワードを複数のユーザーアカウントログインで同時に試すことを指します。
IDとパスワードを組み合わせて攻撃するブルートフォースの一種です。
パスワードスプレー攻撃は low-and-slow攻撃 とも呼ばれます。
パスワードスプレーの仕組み
ログインがあるシステムでは基本的に一定回数のログインが失敗するとアカウントロックが行われます。
アカウントロックはアカウントのログイン失敗回数に応じてロックが掛かることが多いです。
パスワードスプレー攻撃では複数のアカウントに対して 同じパスワード でログインを試します。
同じアカウントでも複数のアカウントでログインを試すのでロックがかからない状態を維持しながら攻撃を行うことができます。
ブルートフォース とは
ブルートフォースとは総当たり攻撃になります。
詳細は こちら を御覧ください。
ブルートフォースでは 同じアカウント に対してパスワードを変えながらログインを試す方法です。
アカウントロックはこちらのブルートフォース攻撃を防ぐことができます。
パスワードスプレーの対策
- 多要素認証を行う
多要素認証 とはIDやパスワード以外の他の要素も使ってログインを行う方法です。
生体認証やワンタイムパスワードを使用されることがあります。
- 推測されにくいパスワードにする
パスワードを主として複数のアカウントにログインを行うため
できるだけ長く、分かりづらいパスワードを設定することが効果的です。
2022年のよく使われたパスワード では
短く、意味を持ったりわかりやすいパスワードがランクインしています。
こちらのパスワードを使うのは避けるのが良いかもしれません。
勉強後イメージ
確かにアカウントロックがされないから避けるのは難しいよね。