ブルートフォース攻撃Brute Force Attack
ブルートフォース攻撃は、パスワードやトークンを総当たりで試行し正解を見つける攻撃で、対策はレートリミット・MFA・アカウントロック・強力なハッシュです。
詳細解説
ブルートフォース攻撃は、認証情報の組み合わせを片端から試行する古典攻撃で、辞書攻撃 (よくある単語リスト) ・パスワードスプレー (1パスワードを多数アカウントに) ・クレデンシャルスタッフィング (流出DB流用) などのバリエーションがあります。GPU活用でハッシュクラックは劇的に高速化しており、bcrypt / Argon2 等のメモリハード関数で計算コストを上げる必要があります。サーバー側の対策はOWASPに従い (1) レートリミット (5回失敗で15分ロック等) (2) MFA / WebAuthn 強制 (3) Captcha / Turnstile (4) 異常検知 (異常な国・IP・時間帯) (5) Have I Been Pwned API でのパスワード流出チェック を組み合わせます。アカウントロックはDoSにも転用されるため、IP別と組み合わせるなどの工夫が必要です。
実装例 / 使い方
- 015回連続失敗で15分ロックし IP も併用してDoS転用を防止
- 02Cloudflare Turnstile で人間判定して総当たりを抑制
- 03クレデンシャルスタッフィング対策に HIBP API でリーク検知
関連する用語
レートリミット
Rate Limitingレートリミットは、APIやWebエンドポイントへのリクエスト数を時間単位で制限する仕組みで、ブルートフォース・DDoS・乱用対策の基本要素です。...
MFA
Multi-Factor AuthenticationMFA (多要素認証) は、知識・所有・生体の異なる要素を2つ以上組み合わせて認証する方式で、パスワード単独より遥かに高い安全性を提供します。...
パスワードハッシュ
Password Hashingパスワードハッシュは、平文パスワードを不可逆関数で変換し保管する技術で、Argon2id・bcrypt・scrypt が推奨されます。SHA-256 等の一般ハ...
bcrypt
Blowfish-based cryptbcrypt は、Blowfish 暗号を基にしたパスワードハッシュ関数で、コストパラメータで計算量を調整できます。1999年から使われる古典的だが現役のアルゴ...
ブルートフォース攻撃を、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信