 |
| photo credit: Dev.Arka via photopin cc |
手口はすべてパスワードリスト攻撃。
パスワードリスト攻撃なんていわれても、ピンと来ない人がいるかもしれない。要はIDとパスワードに使われそうな文字列を用意しておいて、あとは機械に任せて一気にログインを試すの。
もちろん攻撃はTry & errorの繰り返しだから、受けたサーバは高負荷がかかって、攻撃されるのバレますけどね。割と泥臭い攻撃。
ツールもそーんなに特殊なもんじゃないので、Kali Linux使って実験環境作って試すのもそんなに難しいことじゃない。
なので、ユーザーが身を守るのにやれることといったら、「辞書に載っていそうなつづりはパスワードには利用しない」「おなじパスワードを異なるサービスにまたがって利用しない」
IDとPWを憶えられるものに、と思うから単純文字列にしちゃうのだろうけど、そもそも全サービスのパスワードを憶え切るのはムリなのだから、どこかに記録させましょう。
個人的にはあまりおすすめはできないけど、こういうノートもあるみたいだし。ほんとうはパスワード管理ソフトとか使ってほしいけど、それ自体がもう敷居が高い、というひともいるもんね。そのかわり、絶対他人の目にふれないところに仕舞って、管理するのが条件だけど。
一方でサーバ管理者は、ユーザーに8文字以上のパスワードを登録してもらうようにID管理テーブルを設計する。単純な時間稼ぎでしかないけどね。8文字のパスフレーズを破るのに1億パターン、12文字で一兆パターン必要なそうだから。6文字で瞬殺されるより、長い文字列で時間稼いでそのうちに攻撃を止める。
そのうちに個人のデバイスレベルでも、生体認証が使える日もくるかもしれないから、それまではベタな方法で自分の情報を守りましょう。
では、また。
【それにしてもよく続いたなあ】
0 コメント :
コメントを投稿