Facebookに不正ログインされた。一般的な攻撃方法とその対策に関して
一般財団法人 日本そうじ協会 掃除道認定講師 IT掃除道のザック(雄大)です。
先日、このような記事を書きました。
【盲点】Facebookのアカウントロック解除とSMSの文字化けの対処方法
知り合いがアカウントロックをされたという記事です。
残念ながら、今度は私が不正ログインされてしまいました。
ただし、昔に使っていたアカウントです。(ちなみに、Facebookはサブアカウント禁止です。英語版から日本語版ができはじめた時、一度リセットする意味で作りなおしました)。どうやら、台湾から不正ログインがされていたそうです。
不正ログインの一般的な手口を知っていますか?
辞書攻撃と総当り攻撃があります。
辞書攻撃は、apple,book,cupなど、辞書にのっている単語を使って、これがパスワードではないのかと類推しながら調べていく方法です。
総当たり攻撃は、その名の通り、総当たりで攻撃します。
例えば、iphoneの場合、設定で、最初に4桁の数値を入力しないと、動作が画面に行かない設定にしている人も多いと思います。
見ず知らずの人が解除するのであれば、0000,0001…9999と最高で9999回入力すれば、解除できてしまいます。
では、その対策として、どうすればいいのでしょうか。
結論だけ先に書くと、書きの2つです。
- パスワードを長くする
- 記号など特殊な文字を入れる。
ここでは、説明がしやすいように、数字だけのパスワードで説明します。
例えば、5桁の数字をパスワードにしている場合、総当たり攻撃で最低、10の5乗、10万回やればパスワードを解除できます。これが6桁にした場合、それだけで、100万回の入力コストが増えます。そういうことで、パスワードは長くした方がいいです。
また特殊な文字を入れるだけで、その解除にかかる総当りのコストが増えます。
アルファベットは26文字ですが小文字と大文字を組み合わせるだけで、52通りになります。加えて、@などの特殊な文字を入れることで、その数も増えていきます。
【まとめ】
不正ログインされないために下記を徹底することです。
- パスワードを長くする
- 記号など特殊な文字を入れる。
最近、思うことは、不正ログインはどんなに気をつけていても、されてしまう可能性は少なからずあります。今の仕組み上0%にはなりません。
逆に不正ログインをされる前提で、いろいろと考えたほうがいいのかなと思っています。例えば、サービス事にパスワードを変えるだけでも違うと思います。私の場合、gmailとFacebookとtwitterなどが同時に乗っ取られることは避けたいと思っているので、重要度に応じて、パスワードを変更しています。
メールマガジンを毎週火曜日、発行しています。このブログでは書いていない情報をまず、こちらのメールマガジンからのせています。ぜひご登録ください。
良い記事だと思ったらクリックをどうぞよろしくお願いします。