今日学んだわけじゃないけど、サッと書ける更新ネタ。
総当たり攻撃
ブルートフォースアタックは、いわゆる総当たり攻撃である。
これのよくある対策は、一定回数パスワードを間違えたアカウントはロックすることだ。これにより、ブルートフォースアタックを防ぐ。
逆総当たり攻撃
そうすると、攻撃者は新しい方法を生み出してきて、それがリバースブルートフォースアタックである。
これがちょっと面白くて、パスワードは固定にして、ユーザ名の方を総当たりする。 こうすることにより、アカウントのロックは回避できるのだ。
パスワードはありがちな、passwordとか、1234とか、そういった値で固定する。
あとがき
日々攻撃手段は進化しているので、ちゃんとパスワードは推定されにくいものにしよう。
ちなみに私はパスワード定期更新反対論者で、あれは一般には、破られるのを防ぐのではなく、破られた後の被害を抑えられるかもしれない、程度のものである。
中には、パスワード長と使用可能文字と攻撃可能回数を計算して、ただしくその期間以内にパスワードを更新するシステムもあるだろうが、そんなことをすると変更が頻繁すぎて普通はやらない。
そう考えると、防げるわけではない、被害が抑えられる可能性がある、程度の効果しかないものに、サービス利用者全員のパスワード定期変更を強いるのはどうだろうか。ほかの防御手段(そもそも攻撃自体を成功させない)を検討したほうが良いのではないだろうか。