読者です 読者をやめる 読者になる 読者になる

ちぎっては投げるブログ

Programming, Android, RaspberryPi, Digital Devices, Kinkuma Hamster...

リバースブルートフォースの発想

TIL

今日学んだわけじゃないけど、サッと書ける更新ネタ。

総当たり攻撃

ブルートフォースアタックは、いわゆる総当たり攻撃である。

これのよくある対策は、一定回数パスワードを間違えたアカウントはロックすることだ。これにより、ブルートフォースアタックを防ぐ。

逆総当たり攻撃

そうすると、攻撃者は新しい方法を生み出してきて、それがリバースブルートフォースアタックである。

これがちょっと面白くて、パスワードは固定にして、ユーザ名の方を総当たりする。 こうすることにより、アカウントのロックは回避できるのだ。

パスワードはありがちな、passwordとか、1234とか、そういった値で固定する。

あとがき

日々攻撃手段は進化しているので、ちゃんとパスワードは推定されにくいものにしよう。

ちなみに私はパスワード定期更新反対論者で、あれは一般には、破られるのを防ぐのではなく、破られた後の被害を抑えられるかもしれない、程度のものである。

中には、パスワード長と使用可能文字と攻撃可能回数を計算して、ただしくその期間以内にパスワードを更新するシステムもあるだろうが、そんなことをすると変更が頻繁すぎて普通はやらない。

そう考えると、防げるわけではない、被害が抑えられる可能性がある、程度の効果しかないものに、サービス利用者全員のパスワード定期変更を強いるのはどうだろうか。ほかの防御手段(そもそも攻撃自体を成功させない)を検討したほうが良いのではないだろうか。