ブルートフォースアタック(総当たり攻撃)は有名なのでご存知の方も多いことと思います。
パスワード認証を破る手法のひとつで、IDを固定した状態で、パスワードを変えながら繰り返しトライを続け、認証突破を試みる「ちからワザ」の攻撃方法です。
以前のパスクリ通信「8文字パスワードでは役に立たない!?」でお伝えしたように、もはや8文字程度では、防御策を施してなければ、ほんの数時間で破られてしまう状況になってきています。
これに対する防御策が「アカウントロック」という方法で、認証時に一定の回数パスワードを間違えると、アカウントをロックして、解除するまではログインできなくする方法です。
たいていのインターネットサービスでは、このこの設定を導入して、ブルートフォースアタックを防いでいますが、まだ導入していないサービスもあるのが実情です。
通常のブルートフォースアタックでは同じIDに対してパスワードを変えながら何回も認証を試みていきますが、これだと、サービス側がアカウントロックを設定しておけば、指定回数以上間違えるとアカウントがロックされて、ログインできなくなるので、攻撃が妨害されます。
では「リバースブルートフォースアタック」とは何でしょうか。
これはブルートフォースアタックの「逆」のことをする攻撃です。
リバースブルートフォースアタックは、パスワードのほうを固定して、IDを変えながら何度も認証を繰り返していく攻撃です。ある特定のアカウントの認証突破を狙うのではなく、どんなアカウントでもいいので認証を突破できればいいという場合には使われます。
どうしてこのような方法を使うかというと、アカウントロックが効かないからです。
アカウントロックは、複数回パスワード入力間違いが続くとロックがかかりますが、パスワードはそのままでIDを何度も入力間違いしてもロックがかかることはありません。
このリバースブルートフォースアタックには、誰もが思いつくような単純なパスワードを設定しているアカウントが格好の餌食になってしまいます。毎年発表される危険なパスワードランキングに入っている安直なパスワードを使ってはいけない理由はこれです。
4月新生活のスタート時期には、会社でもプライベートでも新しいサービスを使う機会が多く、新しいパスワードを作ることも多いでしょう。もし単純・安直なパスワードを使ってしまっているようでしたら、今すぐパスワードの設定をし直しましょう。
パスワードの設定方法については、せぐなべの記事でも紹介しています。ぜひ、参考にしてみてください。
>オンラインゲームセキュリティガイド~正体バレても大丈夫?ネットの向こうにご用心~第3回「パスワードを作って管理する、かしこい方法」