攻撃手法-パスワードクラック
パスワードを不正に入手し、システムにアクセス。情報漏洩やデータの改ざん、システムの破壊などのリスクにつながる。
名前 | 方法 | 対策 |
---|---|---|
ブルートフォースアタック | プログラムを利用した総当たり攻撃で、ユーザーのパスワードを得る | パスワードを長くする。定期的なパスワード更新の徹底。ロックアウトの導入。 |
辞書攻撃 | 辞書に載っている単語を元に攻撃。 | 意味のある単語をパスワードにしない(大文字小文字変換やo→0変換など簡易な変換も無意味)。定期的なパスワード更新の徹底。ロックアウトの導入。 |
盗聴 | ネットワーク越しにやりとりされるパスワードを盗み取る。 | 通信の暗号化。ワンタイムパスワードの導入。 |
ソーシャルエンジニアリング | 「社会的」な手段によって、パスワードなどのセキュリティ上重要な情報を入手すること。ユーザーのフリをして管理者に電話し、パスワードを聞く。PCの画面を肩越しに盗み見る(ショルダーハッキング)。など | パスワードなど機密情報管理システムの強化と徹底。本人確認の徹底。パスワード用非表示フィールドの導入(ショルダーハッキング対策)。 |
スパイウェア | キーロガー(キーボード操作記録ツール)やスクリーンキャプチャなどを利用してパスワードを得る | スパイウェアチェックソフトの導入。安全確認がされていないPC(ネットカフェのPCなど)でパスワードを入力しない。パスワード用非表示フィールドの導入。ソフトウェアキーボード(キーロガーにのみ有効)。ワンタイムパスワードの導入。 |