ブルートフォース攻撃
こんにちは、一生と言います。
はじめに
パスワードはバレたら大変だから、
より複雑に、かついくつかを使い分けた方が良い
ってよく聞きますよね。
しかし、
覚えやすい単語を使おう
4桁の数字なら誕生日だよね
と使う側からすると覚えやすくて他と同じパスワードが多いと思います。
見事に正反対です。
では、なぜ複雑かついくつかを使い分けた方が良いのでしょうか?
それは、単純で同じパスワードなら、
パスワードを知らなくても狙われる可能性が出てくる
からです。
その代表例が、
ブルートフォース攻撃
です。
総当たり攻撃とも言います。
今回はそんな、
ブルートフォース攻撃
について紹介させていただきます。
この記事では主に、
を参考にさせていただきました。
どれかわからないといざという時にログインできない
覚えとかないといけないのに、複雑なんてありえない
という気持ちもわかります。
私も以前はそうでした。
しかし、こちらの記事を読むことで、
ちょっとは工夫した方が良いかも
って思ってもらえると思います。
一緒に学びましょう。
それではよろしくお願いします。
こんな人にオススメ!!
- パスワードをいつも同じにしている人
- 有名な英文などをパスワードにしている人
パスワードってなんで必要なの?
パスワードとは、
特定の個人を識別する「認証」
出典:「図解まるわかりセキュリティのしくみ」より
に必要なものです。
普段、あなたがアプリやサブスクを使用するとき、
またパスワードを入れないといけないのかぁ
なんでまた別のパスワードを作らなきゃいけないの?
と思ったことありませんか?
今ではたくさんの、
サブスク
SNS
を利用している人が多いです。
それらの特徴の一つが、
別のパソコンやスマホでもいつもと同じように使える
ということがあります。
これは、
IDやパスワードを入力することでサーバー側があなたを確認できているため
です。
全てが知っているからパソコンが違ってもあなただ
と思ってくれています。
つまり、パスワードとは、
アプリやサブスク側があなたを本人と認識するために必要な情報の一つ
ということです。
どうやって悪さをするの?
今の流れを見て、
パスワードがバレなきゃ良いんだよ。
他の人に教えないから大丈夫
と思いますよね。
その結果、
- あなたが覚えやすいもの
- よく使われる有名な英文
などにする人が多いと思います。
やっぱり数字と聞くと誕生日が思い浮かびますよね。
しかし、ログインフォームには誰でも行けるのです。
そこで、第三者の人が思い浮かぶパスワードをいろいろ試してみたらどうでしょうか?
パスワードが4桁の数字
誕生日や記念日
英数字
よく使われそうな英単語
このようにまず最初に試される可能性があります。
試されるってことは当たってたらアウトですね。
また、
パスワードが4桁の数字
0000 ~ 9999
8文字以上の英字
aaaaaaaa ~ zzzzzzzz
など全てのパターンを試すことでいつか当たることもあります。
このように、
実際にパスワードがバレていなくてもいろいろ試すことは可能
なのです。
これが、
ブルートフォース攻撃
と言います。
全ての候補を手当たり次第試してく攻撃です。
どんな危険があるの?
ブルートフォース攻撃で危険なことは、
実際のパスワードはバレていないのに他の人に突破されてしまう
かもしれないことです。
ブルートフォース攻撃は、手当たり次第候補を試す攻撃です。
そのため、
- 実際のパスワードに込められた意味
- 他の人がそのパスワードを知っているか否か
は関係ありません。
なんでも良いから全部試しちゃえ
という攻撃ですからね。
それでも、IDとパスワードが当たっていれば、
その人があなたになりすまして行動ができる
ようになってしまうのです。
その結果、
他の人があなたのIDとパスワードを使用してログインすると
サーバー側はあなたがログインしたと思う
ということです。
サーバー側から人は見えないため、
どうしてもそうなってしまいます。
普段、あなたのIDとパスワードをご家族が使用してNetflixを見たりしませんか?
これ自体は問題はなさそうですね。
しかし、これがご家族でなく第三者だとどうでしょう?
これは大変なことです。
パスワードがバレるとこのようにあなたになりすまして色々なことができてしまうのです。
どんな対策ができる?
そのサービスを使う側
ユーザー側でのブルートフォース攻撃の対策としてよく上がるのは、
多くの文字数・多くの文字種を使用したパスワードにする
ことです。
ブルートフォース攻撃は、あくまで全ての候補を試す攻撃です。
そのため、
あなたのパスワードを候補に上がりにくくする
のが一番です。
そのため、
文字数
文字種
を多くする方が候補に上がりにくくなりますね。
自分が覚えにくくなりますが、
候補になりにくくもなります。
面倒臭い・・・
覚えられない・・・
と思うかもしれませんが、できる限り文字数や文字種を増やしましょう。
そのサービスを提供する側
サーバー側でのブルートフォース攻撃の対策としてよく上がるのは、
- できる限り文字数や文字種の制限しないようにする
- ワンタイムパスワードや二段階認証を使用する
ことです。
できる限り文字数や文字種の制限しないようにする
先ほども書きましたが、ブルートフォース攻撃はあくまで全ての候補を試す攻撃です。
文字数や文字種の制限をなくせば無くすほど候補がたくさんできます。
多いほど時間がかかり攻撃自体をやめようと考えてくれます。
そのため、候補が増えるように制限をできる限り増やせるようにしましょう。
例えば、
数字8桁の場合は1億通り、
英小文字が8文字の場合はおよそ2000億通りの組み合わせ
出典:「この一冊で全部わかるセキュリティの基本」より
になるそうです。
これだけの候補があれば手当たり次第でも全部試すには時間がかなりかかります。
ちなみに数字4桁なら10000通りです。
ワンタイムパスワードや二段階認証を使用する
サーバー側でブルートフォース攻撃から守るために、
ワンタイムパスワードや二段階認証にする
のも一つのです。
ワンタイムパスワードを使用することで、今だけ使えるパスワードの作成できます。
今だけのため、覚えておく必要もありません。
また二段階認証にすることで、IDとパスワードが合っているだけではログインできません。
あなたのスマホでOKを押すなど
あなたにしかできない行動も必要になります。
このように、IDとパスワード以外も認証に加えることでブルートフォース攻撃から守ることができます。
終わりに
今回は、
ブルートフォース攻撃について
についてを紹介させていただきました。
ブルートフォース攻撃とは、
パスワードの候補に上がるもの全てを手当たり次第試す
攻撃です。
これをすることで、
- 候補に上がりやすいパスワード
- 候補がもともと少ないパスワード
の場合、バレてなくてもパスワードがバレてしまう可能性が高まります。
人に教えないからわかりやすくても問題ない
そう思っていませんか?
覚えやすい単語や候補に上がりやすい数字などは他の人でも候補に上がりやすいのです。
結論として、
自分の覚えにくいパスワードの方が相手にもバレにくい
ということです。
面倒臭いと思ってしまいがちですが、自分のためにも複雑なパスワードにしましょう。
自分でちゃんと管理すれば、ちょっと複雑でも大丈夫です。
これは私の経験なのですが、管理しづらいパスワードもやめた方が良いと思います。
私は以前、
英字_ooooooooooooo_数字
のようなパスワードにしたことがあります。
文字数も多し、バレることはないだろうと思っていました。
結果、
oの数での打ち間違いで入れない
ことになりました。
作るときはoを10個にしたつもりが、
実際には違っていたかもしれません。
このように、バレないからといって管理しづらいパスワードも避けた方が良いと思います。
これらの本では、他にいろいろなセキュリティのことが書かれています。
この記事を読んで興味を持った方は、ぜひ読んでみてください。
奥付
本は、人の知識の宝庫です。
一冊の本を全て取り入れるのは大変です。
そのため、何か一つでも自分に取り入れてみましょう。
それだけで、自分の成長が見え、とても楽しいですよ。
最後まで読んでいただき、ありがとうございました。
コメント