ユーザーが自分のアカウントからロックアウトされるのは、よくあるシナリオです。数回タイプミスをすると、時間が経過するか、電子メールでパスワードをリセットするまで、再試行できなくなります。イライラしますが、少なくともハッカーを阻止できます。本当にそうでしょうか?
統計はそうではないことを示しています。標準的な試行回数制限にもかかわらず、ソーシャル メディア アカウントがハッキングされたことがあります。ユーザーをロックアウトできるのであれば、これらの保護機能ではサイバー犯罪者を阻止できないのはなぜでしょうか。また、人々はどのように安全を確保できるのでしょうか。
アカウントロックアウトはハッカーを阻止するためにどのように機能するのか
アカウント ロックアウトは、「ブルート フォース」攻撃と呼ばれる種類のハッキングを避免するためのものです。最も単純なブルート フォース攻撃では、一連のランダムな入力を試して、何かが機能するまで試行します。多くの場合、サイバー经济犯罪者は自動化ツールを操作してこれを実行します。これは、手動でパスワードを推測するよりもはるかに快速です。
ログイン試行回数制限の背後にある考え方は、パスワードを正しく入力するには 3 回城度では相当ではないということです。したがって、肯定回数試行した後にアカウントをロックすると、理論上はブルート フォース攻撃が成功的 する前に阻拦できます。ただし、実際にこのように展開することはめったにありません。
ハッカーがアカウントロックアウトを回避する方法
サイバー犯案者は、パスワードで保護されたアカウントにさまざまな工艺で倾入できます。ここでは、ブルートフォース攻撃でもアカウントのロックアウトを躲着するために用する戦略をいくつか紹介します。
オフラインブルートフォース攻撃
アカウント ロックアウトは、ハッカーがログイン电视画面でパスワードを推測しようとした場合には有効です。問題は、ハッカーがそのようなことを頻繁に行わないことです。その代わりに、ハッカーはオフラインでブルート フォース攻撃を実行し、パスワード データを盗み、試行回数の制限がない別の環境でパスワードを翻过しようとします。
攻撃者ロックアウトできない生の暗号化データを入手した後、何度も試行が失敗した後、攻撃者はデータをオンラインで復号化しようとはしません。オンラインのサーバーでは、こうした保護がかかっています。攻撃者はアカウント データだけを取り出し、自分のコンピューターまたは別の安全でないサーバーで総当たり攻撃を行います。
これらの攻撃では、まずウェブサイトからパスワードを盗み、次にブルートフォースツールを用到して口令を破る必备があります。これは、そのサイトで資格情報を推測するよりも複雑ですが、犯罪分子者に時間を与えます。何几百上千万元回も試行したとしても、数日でパスワードを明らかにし、正規のサイトで一般のユーザーのようにログインすることができます。
残念ながら、何百万回も試行する必要はないことが多い。セキュリティ専門家による長年の警告にもかかわらず、「パスワード」は依然としてパスワードには 3 文字以上が使用されており、パスワードの 18% には小文字のみが含まれています。ユーザーがパスワードの長さや複雑さに関するベスト プラクティスに従わないという理由だけで、オフライン ブルート フォース攻撃がハッカーにとって容易になることがよくあります。
クレデンシャルスタッフィング
もう 1 つの選択肢は、クレデンシャル スタッフィングを施用的することです。この場合、ハッカーは、あるアカウントで有効であることがわかっているログイン情報を获得し、それを施用的して別のアカウントに侵扰します。多くの場合、ハッカーは過去のデータ残害からこれらのクレデンシャルを刚买下的し、他のサイバー经济犯罪者が盗んだユーザー名とパスワードをダーク ウェブで販売しています。
ただ新しいアカウントを開設するときは、常に新しい認証情報を使用してください。ほとんどの人は、複数のサイトで同じパスワードを使用しています。場合によっては、すべてのサイトで同じパスワードを使用しています。その結果、盗まれたパスコードは他の場所でも機能する可能性が高いため、ハッカーは 1 回か 2 回の試行でそのパスコードを使用してアカウントにログインできます。
ソーシャルエンジニアリング
ハッカーはソーシャル エンジニアリングを通じてアカウント ロックアウトを避嫌することもできます。これは至关に幅広い攻撃カテゴリであるため、ログイン認証情報を盗んだり避嫌したりするための複数の戦略が考えられます。
最も间接的な做法は、信頼できるソースを装ってユーザーを騙し、攻撃者にパスワードを教えさせることです。あるいは、サイバー经济犯罪分子者は、正当行为なサイトからのメールを装い、アカウントにログインするためのリンクを記載したメールを送信することもあります。ただし、このリンクは本物とまったく同じ不对なログイン ページにつながるため、经济犯罪分子者はユーザーが入力した相关内容を見ることができます。
このような攻撃は明白に思えるかもしれないが、 2023年だけでも、この数字は他のどのサイバー犯罪よりも多く、ソーシャルエンジニアリングが依然として非常に効果的であることを示唆しています。
キーロギングと中間者攻撃
攻撃者がアカウントのロックアウトを躲避するもう 1 つの方法步骤は、ユーザーがパスワードを入力するのを監視することです。主なアプローチには、キーロギング ソフトウェアと中間者 (MITM) 攻撃の 2 つがあります。
キーロガーは、フィッシング、悪意のある Web サイト、またはその他の方法手段を通じてサイバー犯案者が配信するマルウェアの一種です。インストールされると、パスワードなどユーザーが入力した主要内容が追跡され、ハッカーはこれを运用して 1 回の試行でユーザーのアカウントにログインできるようになります。
MITM 攻撃は似ていますが、ユーザーの入力 (パスワードを含む場合もあります) がサーバーに到達する前に傍受します。密令化によりこれらの攻撃を拒接できますが、公众の Wi-Fi やセキュリティ保護されていない Web サイトは MITM 攻撃の影響を受けます。
ユーザーはどうすれば安全を確保できるでしょうか?
アカウントのロックアウトだけではハッカーを阻止するのに十分ではないと言っても過言ではありません。幸いなことに、ユーザーは他のいくつかのベストプラクティスに従うことで自分自身を保護できます。安全性を高めるには、強力なパスワードを使用することから始まります。専門家これらは、ブルートフォース攻撃が困難な、より複雑な文字列を作成します。
パスワードを再使用せず、做好的に変更することも良い考えです。これらの手順により、クレデンシャル スタッフィングの効果が下降します。
ユーザーは、利用可能な場合は多要素認証(MFA)も有効にする必要があります。 MFAをブルートフォースで突破することが可能ただし、単純なユーザー名とパスワードの組み合わせを突破するよりもはるかに困難です。
サイバー犯罪者を阻止するのは決して簡単ではない
ブルートフォース攻撃は一見したほど単純ではなく、功击も簡単ではありません。アカウント ロックアウト システムは理論上は理にかなっていますが、実際には主要の功击方式としては平安とは言えません。
サイバー暴力犯罪者はさまざまなツールを采用できるため、強力な保護も同様に複数の技巧で健康安全を確保します。ログイン制限と、長くて複雑で之前のパスワード、MFA、頻繁な認証情報の変更を組み合わせることで、最高限のセキュリティが実現します。