パスワード認証を突破して不正アクセスする攻撃方法の中に、総当たり攻撃(またはブルートフォースアタック)と言われるものがあります。
ブルートフォースアタックについては、せぐなべの下記記事にて解説しています。
>認証」の基礎知識(4):パスワードにまつわる脅威
この総当たり攻撃は、あるアカウントに対してパスワード候補を次々に送信して何度も試していく、という力技の攻撃方法です。
この攻撃への対策として、パスワード認証を何回か続けて間違えると、パスワード入力を不可能にして、一定時間リトライできないようにする「アカウントロック」という方法があります。このアカウントロックは一般的で、導入されているのが普通です。
「パスワードスプレー攻撃」というのはこのアカウントロックを回避する総当たり攻撃です。
ロックがかかっている時間よりも長い時間をかけて、「ゆっくりと認証を繰り返す」ことで、アカウントロックを回避するとともに、システム管理者に攻撃を気づかれないようにする、というものです。
もちろん通常の総当たり攻撃よりもゆっくり繰り返す分、パスワード突破まで時間もかかってしまうため効率はよくないのですが、複数サイト、複数のアカウントで同時に行っていくことで、成功率を上げるように組まれています。
特にシングルサインオンやクラウドサービスなどのウェブアプリケーションをターゲットとしてパスワードスプレー攻撃されることが多く、万一突破されてしまうと連携しているサービスまで不正アクセスされてしまうことになり、十分な注意が必要です。
最低でも「ありがちなパスワードは使用しない」「パスワードは使い回しにしない」「パスワード桁数は8桁以上。できれば10桁以上」というのは守っておきたいですね。
さらに多要素認証を導入して、認証強化をしておくこともおすすめです。
【企業の皆様向けP.S.】
固定パスワードを使わない認証システムの「PassLogic」なら、パターンの桁数を8桁に設定した場合で、毎回1億分の1の確率でしか当たりを引けない状況を作れます。毎回数値が変わるので、パスワードスプレー攻撃も大丈夫!ということで・・(^_^;)
クライアント証明書を使った多要素認証にも対応してますよ!!