 |
| photo credit: Dev.Arka via photopin cc |
手口はすべてパスワードリスト攻撃。
パスワードリスト攻撃なんていわれても、ピンと来ない人がいるかもしれない。要はIDとパスワードに使われそうな文字列を用意しておいて、あとは機械に任せて一気にログインを試すの。
もちろん攻撃はTry & errorの繰り返しだから、受けたサーバは高負荷がかかって、攻撃されるのバレますけどね。割と泥臭い攻撃。
ツールもそーんなに特殊なもんじゃないので、Kali Linux使って実験環境作って試すのもそんなに難しいことじゃない。
パスワードを解読する方法part2 - Linuxによるハッキングの知識 - Yahoo!ブログ
なので、ユーザーが身を守るのにやれることといったら、「辞書に載っていそうなつづりはパスワードには利用しない」「おなじパスワードを異なるサービスにまたがって利用しない」
IDとPWを憶えられるものに、と思うから単純文字列にしちゃうのだろうけど、そもそも全サービスのパスワードを憶え切るのはムリなのだから、どこかに記録させましょう。
個人的にはあまりおすすめはできないけど、こういうノートもあるみたいだし。ほんとうはパスワード管理ソフトとか使ってほしいけど、それ自体がもう敷居が高い、というひともいるもんね。そのかわり、絶対他人の目にふれないところに仕舞って、管理するのが条件だけど。
【楽天市場】パスワード 管理 便利 ノート パスワードブック【 hightide / ハイタイド 】Password Book ミニ ノート パスワード ID メモ 保存 保管 に ★文房具、デザイン雑貨のWakuWaku 代官山:WakuWaku
一方でサーバ管理者は、ユーザーに8文字以上のパスワードを登録してもらうようにID管理テーブルを設計する。単純な時間稼ぎでしかないけどね。8文字のパスフレーズを破るのに1億パターン、12文字で一兆パターン必要なそうだから。6文字で瞬殺されるより、長い文字列で時間稼いでそのうちに攻撃を止める。
そのうちに個人のデバイスレベルでも、生体認証が使える日もくるかもしれないから、それまではベタな方法で自分の情報を守りましょう。
生体認証の活用で「脱パスワード」も視野に:マカフィー、個人向けセキュリティ製品の新版を発表 - @IT
では、また。
【それにしてもよく続いたなあ】
クロネコメンバーズにパスワードリスト攻撃、不正ログイン多発 - ITmedia エンタープライズ
佐川急便でも不正ログイン、運輸・物流業界でパスワードリスト攻撃相次ぐ - ITmedia エンタープライズ
docomo IDに不正ログイン 6072人の個人情報流出の恐れ - ITmedia Mobile
0 コメント :
コメントを投稿