勉強前イメージ
ブルートフォース攻撃が返ってくる?
リバースとか聞くとタイムアウトで時間かけてアクセスを溢れ出すやつってイメージある
調査
リバースブルートフォース とは
逆総当たり攻撃とも呼ばれていて、不正ログインを行う手段の一つになります。
元々 ブルートフォースアタック と呼ばれるものがありますが
ブルートフォースアタックとは総当たり攻撃とも呼ばれいて
パスワードや暗号に関してありえるパターンをすべて入力し、突破する方法です。
詳細は こちら をご覧ください
リバースブルートフォースとはブルートフォース、総当たり攻撃の逆で
よく使われるようなパスワード固定でユーザIDを総当りで不正ログインを行います。
ブルートフォースだったらパスワードを総当りで攻撃を行いますが、アカウントロックという何回かパスワードを間違えるとロックが掛かる機能があると厄介です。
特にユーザを指定しない、誰でもいい場合は逆にユーザを変えて総当たりを行うというイメージです。
リバートブルートフォースはアカウントでは基本1回しか間違えないのでアカウントロック機能が無効化されてしまうのです。
これがリバートブルートフォースになります。
リバートブルートフォースの対策
サーバ側
- CAPTCHAの実装
自動化されたアクセスを拒否する実装を行うことで対策となります。
- IPアドレスでの制限
特定のIPアドレスからのログインを見て、連続失敗の閾値を設けてアクセス制限を行うことで
総当たり攻撃をすべてできないようにします。
- パスワードの種類や文字数を増やす
文字数を多くしたりや特殊文字を必須にすることで被害に合うリスクを軽減できます。
ユーザ側
- 二段階認証を有効にする
二段階認証 を行うことで
万が一パスワードがわかってしまったとしてもアカウントを乗っ取られることを防ぐことができます。
- わかりやすいパスワードにしない
ユーザIDと一緒やよく使われるパスワードにしないのが得策です
勉強後イメージ
ユーザIDを総当りするのね。