パスワードリスト攻撃とは
悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いてそれらIDとパスワードを入力することで、ウェブサイトにログインを試みる手口です。
このような攻撃が成立する背景として、“同じパスワードを様々なインターネットサービスで使い回す利用者が多い”ということが挙げられます。
パスワードリスト攻撃においては、その元となるIDとパスワードは、個人のパソコンからではなくインターネットサービスのサーバーから盗み取られるため、利用者側で強固なパスワードを設定し、かつパソコン上でセキュリティソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできません。
一般消費者の対策として、「パスワードを使い回ししないように」という注意喚起がなされていますが、多くのインターネットサービスが利用される中、現実的には覚え切れないパスワードをどのように管理すればよいのか分からない利用者も多いことでしょう。
独立行政法人情報処理推進機構(IPA)では、パスワードリスト攻撃の手口と多くのパスワードを安全に管理した上で、個人の利用者がパスワードの使い回しを避ける具体的な方法について情報提供しています。(※)
パスワードの使い回しを避け、安全に管理するための具体策の例
@自分が利用するIDとパスワードを、リスト化して保持
IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持する。
具体的には、 以下のような方法がある。
・表計算ソフトでIDとパスワードのリストを作成する。そのリストを、パスワード付きでファイル保存する。
・表計算ソフトでIDとパスワードのリストを作成し、ファイル保存する。そのファイルを、パスワード付きで圧縮ファイル(zipなど)に変換する。
・「メモ帳」などでIDとパスワードのリストを作成し、テキストファイルとして保存する。そのファイルを、パスワード付きで圧縮ファイルに変換する。
Aサービスの重要度が高いものは、IDとパスワードのリストを別々のファイルに分けて保持
インターネットバンキングのIDとパスワードなど、金銭に絡む重要なものについては、上記@リストを用いた管理に加え、IDとパスワードを切り離して保持する。
IDとパスワードのリストを普段から別々に保持。(例:パソコンと紙、パソコンとスマートフォン、など)。
もし片方を盗み取られても、それだけでは不正ログインに悪用することができないため安全。
インターネットサービスを提供する業界全体として、ユーザーの皆さんに情報提供していきましょう。
(※)
「 全てのインターネットサービスで異なるパスワードを! 」
〜 多くのパスワードを安全に管理するための具体策 〜
(独立行政法人情報処理推進機構 セキュリティセンター:2013.8.1)
http://www.ipa.go.jp/security/txt/2013/08outline.html#5
《参考記事》
・コピー&運営チェック :セキュリティ対策
http://blog.fides-cd.co.jp/article/179647780.html
-----------------------------------------------------------
◆本ブログをメルマガでまとめ読み!
「ネットショップ おもてなし作法」として、本ブログの1週間分の
情報を、ダイジェストでお届けしています。(毎週金曜日配信)
登録はこちら
------------------------------------------------------------
------------------------------------------------------------
◆ランディングページ改善サービスの決定版!
『顧客の“生の声” 』と『プロのアドバイス』のダブルチェックで、
見込み顧客の心を掴み、確実に購入へと導きます。
顧客目線×プロ目線
http://www.fides-cd.co.jp/category/ser06/
------------------------------------------------------------
------------------------------------------------------------
ネットショップの信頼性をカタチにしますECコミュニケーションデザイン フィデス
http://www.fides-cd.co.jp
*このサイトのご利用に際して
------------------------------------------------------------
