スポンサーリンク

【基本情報技術者】パスワードリスト攻撃って何?対策法も

スポンサーリンク
基本情報技術者

基本情報技術者試験で出題される、「パスワードリスト攻撃」とは何か、パスワードリスト攻撃への対策を詳しく紹介します。

まずは、過去問を見てみましょう。

基本情報技術者平成31年春期 午前問37

パスワードリスト攻撃の手口に該当するものはどれか。


ア. 辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。


イ. パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。


ウ. 複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。


エ. よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。

パスワードリスト攻撃とは

パスワードリスト攻撃とは、ID(メールアドレス等)パスワードの組み合わせが書いてあるリストを元に不正にアカウントにアクセスする手法です。

だいご
だいご

具体的には?

Aサイトで情報が流出したとすると、そこで使われているIDパスワードのリストを作成し、それをもとにBサイトでアクセスを試みます。

同じIDとパスワードを用いていることは多いので、結構な確率でアクセスできてしまいます。

パスワードリスト攻撃の説明

インターネットではパスワードとIDのリストが日常茶飯事で流出しています。
こちらのサイトでメールアドレスが流出しているかを調べることができるので、興味があれば調べてみてください。
(結構流出しています)


もちろん、このサイトの結果に問題がなかったからといって油断は禁物です。

パスワードリスト攻撃の対策

パスワードリスト攻撃は登録サイトごとにパスワードを変えることで防ぐことができます。

ただ、現実的に全部覚えるのは大変です。そこで、パスワード管理ソフトなどを利用しましょう。
パスワード管理ソフトはたくさんあるパスワードを比較的安全に保存できます。

パスワード管理ソフトは比較的安全ですが、それでも攻撃されて被害を生むことがあります。
本当は全部自分で覚えるのが安全です。

過去問解説(基本情報平成31年春期 午前問37)

それでは、最初に紹介した過去問を解説します。

基本情報技術者平成31年春期 午前問37

パスワードリスト攻撃の手口に該当するものはどれか。


ア. 辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。
辞書攻撃。辞書に載っている単語を使ったパスワードのパターンをたくさん用意しておいて、色々当てはめてみる方法。


イ. パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。
ブルートフォース攻撃。パスワードをとにかく入れまくって試してみる方法。


ウ. 複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。
パスワードリスト攻撃。当記事で解説。


エ. よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。
リバースブルートフォース攻撃。よく使われる文字列にパスワードを固定しておいて、IDを色々変えてログインを試す方法。パスワードの入力回数に上限はあっても、IDの入力回数に制限がないサイトに使われる。

よって、この問題の答えはになります。

まとめ

今回は、基本情報技術者試験で出題される「パスワードリスト攻撃」について説明しました。
本記事を読んだ方は、パスワードの管理についてもう一度確認してみてください。

タイトルとURLをコピーしました