なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説:セキュリティ、いまさら聞いてもいいですか?(5)(4/4 ページ)
IDとパスワードを使わない対策
銀行のATMの認証は、4桁の暗証番号だけですよね? コンピュータでもこのような認証はできないのでしょうか?
Windows 10のPINなど、似た仕組みも登場してきています。
認証にIDとパスワードを使うという考え方は、コンピュータの世界では昔から一般的でした。しかし、最近は流れが少しずつ変わりつつあり、新しい仕組みも登場し始めてます。
例えば、銀行のATMの認証について考えてみてください。「パスワードは複雑で長いものにするべきだ」という常識があるにも関わらず、ATMでは4桁の数字だけで預金を引き出すことができます。なぜなのでしょうか? それは、利用者が「キャッシュカードを持っている」からです。
これと同じ考え方を採用しているのがWindows 10の「PIN」です。あるコンピュータにログインするということは、ユーザーが「そのコンピュータを持っている」ということです。つまり、コンピュータが盗まれない限りは、PINで十分なのです。
同じような考え方をネットワーク経由でも使えないのですか?
電子証明書方式を使った認証や、「FIDO」のような仕組みも登場してきています。
銀行のサービスやレンタルサーバなどで使われつつあるのが「電子証明書」を使う方法です。電子証明書をコンピュータに事前にインストールしておくことで、そのコンピュータからのアクセスに限りログインできるようになります。電子証明書をインストールしていないコンピュータからはログインできないため、IDやパスワードの漏えいによるなりすましを防ぐことができます。
また、近年では「FIDO」と呼ばれるパスワードに頼らない認証方式の普及も期待されています。これは、指紋などの生体情報を認証に使用し、できるだけパスワードを使わないことを目指す仕組みです。さまざまな認証方式の動向については、今後も注目していくようにしましょう。
第5回のまとめ
- 攻撃者は、「盗み見」「ブルートフォース攻撃(総当たり攻撃)」「辞書攻撃」などのシンプルな方法に加え、「フィッシング」や「盗聴」などあらゆる方法でパスワードを盗もうとする
- 大前提は「長く複雑なパスワードを使う」「複数のサービスでパスワードを使い回さない」こと
- 「二要素/二段階認証」や、「ログインアラート」に対応しているサービスの場合、それらを設定するようにする
- 電子証明書を使う方式や、FIDOなど、新しい認証方式の普及が進んでいる
- なぜ、「脆弱性」はなくならないの?
- なぜ、ログを保存することが大切なの?
- なぜ、いろいろな「暗号技術」が必要なの?
- なぜ、GPSをオフにしても「位置情報」が取得できるの?――最低限押さえておくべき位置情報取得の仕組み
- なぜ、「私が興味を持ちそうな広告」が表示されるの?
- なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ
- なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説
- なぜ、「フィッシング詐欺」に気付けないの?
- なぜ、「鍵マークの確認」が必要なの?――「HTTPS通信」のメリットを理解しよう
- なぜ、「ソフトウエアのアップデート」が必要なの?
- なぜ、「標的型攻撃」で情報が漏れるの?――標的型メールのサンプルから攻撃の流れ、対策の考え方まで、もう一度分かりやすく解説します
増井敏克(ますい としかつ)(増井技術士事務所代表)
技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。
ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。
また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」「数学」「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウエアの開発を行っている。
近著に「おうちで学べるセキュリティのきほん」(翔泳社、2015)、「プログラマ脳を鍛える数学パズル シンプルで高速なコードが書けるようになる70問」(翔泳社、2015)がある。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。