年を追うごとに増えていくインターネット・サービス。その利用が増えれば増えるほど、
また、そのサービスの重要性が高ければ高いほど犯罪者に狙われます。
本記事では、パスワードを破り、不正にログインする主な手口を紹介します。
パスワードリスト攻撃
犯罪者はブラック・マーケットで販売されている漏洩したIDとパスワードのリストを購入し、
そのリストを元にさまざまなサービスに対し、プログラムで機械的に不正ログインを試します。
漏洩したIDとパスワードが正しければ、100%不正にログインされます。
自分のIDとパスワードが漏れているかどうかは、私たち自身で判断が難しいため、
唯一の対策は、同じ1つのパスワードを複数のサービスで使い回さないことです。
それにより、パスワードが漏れたサービス以外のサービスで被害に遭うことは避けられます。
ブルート・フォースアタック(総当たり攻撃)
ブラック・マーケットなどから入手したIDリストを元に、考えられるパスワードを
すべて試すのが「総当たり攻撃」です。攻撃はプログラムで機械的に実行されますが、
成功率の低さが私たちにとっての救いです。なぜなら、多くのサービスでは、
複数回ログインに失敗すると一時的にアカウントをロックするような対策を施しているからです。
失敗すると、しばらく時間を置く必要があり、不正ログインが成功するには時間がかかります。
もし、ログインの履歴を確認できる機能を持つサイトなら、履歴を確認してみましょう。
ログインの失敗回数がご自身の記憶と大きくかけ離れている場合には、狙われている可能性が
あるので、「長い、無意味な、数字記号の混り」の安全なパスワードに再設定しましょう。
パスワード推測攻撃
知人に対して攻撃するような場合に用いられる手口です。
アカウント所有者の誕生日やペットの名前など、知られている情報からIDやパスワードを推測して
不正ログインを試みます。有名人が被害にあったというニュースは、多くの場合、このやり方です。
対策としては、類推が難しいパスワードにする、に尽きます。
また、パスワードを忘れたときのために設定する「秘密の質問」も推測攻撃をされやすいので、
簡単な答えにせず、秘密の質問と対応しない回答、例えば、好きな食べ物「いぬ」とか、
さらに、字数を多くするために関係ない文字列を加える(い1324ぬabcd)と良いでしょう。
安全なパスワード運営法
パスワード破りへの対策は突き詰めれば、サービス毎に異なる安全なパスワードの運用です。
具体的な例として、ご自身のルールを作って覚える方法を紹介します。
簡単に言うと、次の2つの組み合わせで1つのパスワードを組み立てます。
サービスごとに異なるパスワード運用の例
1. 全部のパスワードに共通する部分をつくる
・英語よりも安全なローマ字読みの日本語にする
・大文字や記号、数字を混ぜたり加えたりする
2. サービスごとに異なる部分を頭か末尾に加える
具体例:「SOFUTO1500;!snxt」
「SOFUTO1500;!」が核となる共通部分。
この例では、ソフトという言葉をローマ字読みのアルファベットにし、
数字や記号を追加して安全性を高めている。
「snxt」が、サービスごとに異なる部分
例えばサービス名を4文字で表すというルールを決め、
サービス名がソースネクストだとすると、snxtと表している
最後の手段は、専用サービス
それでも負担が大きいという場合には、専用のサービスに任せるという手もあります。パソコンだけでなく、スマホ、タブレットなど複数のデバイスで使えるものが
良いでしょう。
パスワードを安全に記録し、ログイン時には自動で入力できます。
覚えることを前提としない、乱数で強固なパスワードを生成する機能を
備えるものもあります。