UPPER SYSTEM

スポンサードリンク

最強のパスワードを生成!アカウント乗取り対策に

最近の不正ログイン事件などの原因となっているのが「パスワードリスト攻撃」(アカウントリスト攻撃)と言われています。

 

一昔前であれば「ブルートフォースアタック」(必殺技ですか??)や「辞書攻撃」(辞書にある単語を片っ端から試行)といった力技が多かったのですが、最近はユーザーの心理的な弱みにつけこんだリスト攻撃が流行しています。

 

それだけ有効ということですね。

 

 

<パスワードリスト攻撃とは>

 

ユーザーの弱みとは「複数のパスワードを使い分けられない(管理できない)」ことです。

 

よく”セキュリティと利便性はトレードオフ”と言われますが

 

正に利便性を求める現代人にとって痛いところを突く攻撃がパスワードリスト攻撃なのです。

 

 

その手段は、特定のサイトで侵入可能であったIDとパスワードのセットをリスト化し、他のサイトでもログインを試みるというものです。

 

ユーザーが多用なWebサイトを利用する中で、IDとパスワードを使い分ける面倒さから同一のもの(セット)を使ってしまう盲点を突く攻撃ですね。

 

特徴は下記のとおり。

 

・ログイン成功率が高い
・サイト運営側にバレない
・アカウント名として利用者のメールアドレスを用いるシステムが標的になりやすい
(GMAILもLINEもそうですよね…。)

 

では、パスワードリスト攻撃に耐えうるパスワードの使い分け方法と管理メソッドをご紹介します。

パスワードのオリジナルパターンを作成

<基本パターンに一捻り>

 

下記のパスワードの法則性が読み解けますか…?

 

k31042312041i

 

正解は「生年月日を逆転させたもの”3104”」+「郵便番号を逆転させたもの”2312041”」+氏名のイニシャルである”k”と”i”を頭と末尾に加えたものです。

 

こんな具合に今まで使っていた固定のパスワード(ここで言えば31042312041)に新しい法則性(氏名のイニシャルを頭と末尾に付与)を加えたものをベースにします。

 

 

<使い分けルールを挟んで最強に>

 

上記で作成したパスワードに対し、今度は利用するサービスに応じた文字列を加えるとリスト攻撃対策は完了です。

 

k31042312041iama
k31042312041igoo
k31042312041ifc2

 

上のサンプルでは末尾にwebサービスの頭文字3文字を末尾に付与するというルールを採用したものです。

 

これだけで十分にアカウントリスト攻撃に耐えうるパスワードとなります。

 

私はもうちょっと複雑な法則性を採用しています。念のため。

 

パスワード管理メソッド

 

最後にパスワードの管理について。

 

メモ帳やExcel、パスワード管理アプリを利用する方も多いでしょう。

 

また、エヴァーノートのようなオンラインストレージでどこからでも調べられるようにしていることもあるでしょう。

 

どの方法も多少のリスクを備えていますが、それを解決する方法は2つあります。

 

<完全にメモしない>

 

先に紹介した法則性の一部を省いたものをメモにすれば万が一漏れても

 

そのパスワードは不完全なものですから簡単には悪用されないことになります。

 

k31042312041iama
であれば…
31042312041
のメモにしておくことです。

 

この方法は是非、オススメです。

 

 

<2段階認証>

 

サービスであれば現在は2段階認証を設定できるものが多いです。

 

設定した固有のものに加えて、ワンタイムパスワードを入力する設定など。

 

設定できるようであれば必ず用いるようにしましょう。

 

 

  このエントリーをはてなブックマークに追加

スポンサードリンク

関連ページ

絶対に使ってはいけないパスワード
セキュリティで身近な問題といえばパスワードの管理です。世の中には使ってはいけないパスワードというものがあるのです。
SNSハッキングのリスク
Facebook, Instagram, LINE。日常生活に欠かせないサービスのハッキングの主な手法とその対策、どんな危険性があるのかをご紹介いたします。
SSOのメリット
Active DirectoryやOkta, OneLoginなどを使ってSSO(Single Sign On)=ログインを一元化するシステムを使われていますでしょうか。そのメリット、利便性だけではなくセキュリティ面にも着目したいと思います。
多要素認証とは何か?なぜ大切なのか?
二要素認証や多要素認証って聞いたこと有るけど理解していない方はいませんか?今の時代パスワードだけじゃ駄目です。重要なセキュリティの概念である多要素認証について説明します。
偽警告/フェイクアラートとは何か?
「ウィルスに感染しています!」といったポップアップ表示に驚いた経験はありませんでしょうか。どういったことが起こっていて、どんな対応をスレばよいのでしょうか。