【概要】
IDとパスワードの可能な組み合わせの全てを自動的に試す攻撃方法。
短い、単純なパスワードを使っているとこの攻撃によってログインされてしまう可能性が高まる。
コンピューターで自動的に次々とIDとパスワードの組み合わせを試すため、時間的制約を考慮しなければ必ずIDとパスワードの組み合わせを知られてしまう。
また、短時間の間に連続して攻撃が行われることが多く、サーバーへの負荷も高まる。
【対策】
現在、効果があるとされている対策には以下のようなものがある。
しかし、技術的進歩によって攻撃方法が高度化/多様化するため、将来に渡って間違いなく防止できる手段はないが、複数の対策を実施することでリスクを大幅に低下させることができる。
1.パスワードの文字数を増やす。
パスワードの文字数を増やすことで攻撃者のコンピュータが試行する必要がある組み合わせが飛躍的に増加します。
2.一定回数以上のログイン試行を禁止する。
同一IPアドレスからのログイン試行を制限することで、攻撃者が無制限にIDとパスワードの組み合わせを試すことを防ぎます。
3.別の認証をかけるたり、URLを変更するなどしてログイン画面を隠蔽する。
一般的に知られているアプリケーションのログインURLや露出しているログイン画面は攻撃の標的になりやすいものです。
Basic認証によってログイン画面を表示する段階で別の認証をかけたり、URLを攻撃者からアクセスしにくくすることによってコンピュータによる自動攻撃を抑制することができます。
4.ワンタイムパスワードを利用する。(別の端末へのパスワード通知やNONCEの利用)
ログインする毎に新しい文字列を生成し、それを第2パスワードとしてログイン者にメールなどで通知することでコンピュータによる自動攻撃を抑制します。
また、隠された入力項目に第2パスワードをセットすることでも、コンピュータによる自動攻撃を抑制できます。
5.CAPTCHAなどを導入し、人とコンピュータを区別する。
コンピュータが簡単に認識できない認証方法を導入し、コンピュータによる自動攻撃を抑制できます。
バーブパックセキュリティでは、3、4の対策を実施します。
また、将来のバージョンで2と5へも対応する予定です。