なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説:セキュリティ、いまさら聞いてもいいですか?(5)(3/4 ページ)
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第5回のテーマは、「パスワード漏えい」です。「ブルートフォース攻撃」や「辞書攻撃」などの古典的な手法に加えて、「フィッシング」「盗聴」などあらゆる方法でパスワードを窃取しようとする攻撃者に対しては、どのような対策が有効なのでしょうか。さまざまな認証方式の紹介も含めて解説します。
今すぐにやっておきたい対策
パスワードの使い回しは危険ですね。でも、たくさんのパスワードを覚えられる自信がありません。
二要素/二段階認証の使用を検討しましょう。
パスワードを複雑で長いものにすることは大前提ですが、パスワードリスト攻撃によって他のサービスにログインされることを防ぐためには、「同じIDとパスワードを使い回さない」ということも大原則になります。
ただ現実的には、使用しているサービスの数が多くなると、複雑で長いパスワードを全て覚えておくことは難しくなってきます。そこで対策として考えられるのが、「二要素認証」や「二段階認証」です。
関連記事
銀行などのサービスを利用している人は、「パスワードカード」や「ワンタイムパスワード」という言葉を聞いたことがあるかもしれません。IDとパスワードの入力に加え、銀行から配布されたデバイスに表示される一時的なパスワードを入力する方法です。
これは、IDやパスワードを「知っている」だけでなく、デバイスを「持っている」という二つの要素を認証に使う仕組みです。同じように、FacebookやTwitterなどでも、ログイン時にスマートフォンのアプリに通知を行い、「スマートフォンで許可操作を行う」「スマートフォンに表示された数字を入力する」といったアクションを起こすことにより、ログインを可能にする機能があります。
私が使っているサービスには二要素認証や二段階認証の機能がないようなのですが。
ログインアラートの機能があれば、それを使うのも手です。
二要素認証や二段階認証は安全性を高める仕組みですが、サービス側が対応していなければ利用することはできません。そんなときは、サービスが「ログインアラート」機能を持っていないか確認しましょう。これは「ログインした時点で指定のアドレスに通知メールを送信する」という機能です。送信先に自分のメールアドレスを指定しておけば、身に覚えのないログインが行われたときにおかしいと気付くことができます。
Quiz:他にも対策はあるでしょうか?
次ページでは、最近登場してきている新しい認証方式について紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.