パスワードは最も広く普及している認証方式ですが、記憶という単一要素認証であることから、パスワードを窃取されても、窃取されたことが分からないという欠点があります。また、ソーシャルエンジニアリングに弱いなど、さまざまな弱点があります。そのため、多要素認証の導入が求められます。
多要素認証ができない場合、パスワードを脅威から守るためには、長いパスワード=パスフレーズの採用、ウイルス対策ソフトの稼働、ユーザー教育が欠かせません。
パスワードの脅威一覧
| 脅威 | 攻撃手法 | 原因 | 対策 |
|---|---|---|---|
| オンラインでの総当たり攻撃、辞書攻撃 | ボットによる攻撃 | 弱いパスワードの存在。退職者や使われていないアカウント、開発時のアカウントでの弱いパスワードの設定。 | ロックアウト設定。 多要素認証の導入。 |
| 盗み出されたパスワードDBに対する(オフラインでの)総当たり攻撃、辞書攻撃 | レインボーテーブル | システム仕様の不備。 | 多要素認証の導入。 |
| キーロギングによる盗聴 | ウイルス | ウイルス対策ソフトの未稼働、古いパターンの使用。 | 多要素認証(経路外認証)の導入。 パスワードマネージャーの使用。 |
| Pass-The-Hash攻撃によるなりすまし | Mimikatzなどのパスワード解析ツール | 不必要な管理者権限の付与。(Mimikatz の稼働には管理者権限が必須) | 標準ユーザーでの稼働とLSA の保護。 Credential Guardの導入。 多要素認証の導入。 |
| 正規サイトに似せた偽のフィッシングサイトでの、ID、パスワードの入力による漏洩 | フィッシング | ユーザーの誤操作。 | サンドボックス、Webフィルタリングの導入。ユーザー教育 多要素認証の導入。 |
| パスワードを書いたメモやファイルの開示 | ソーシャルエンジニアリング | ユーザーの不注意。 | ユーザー教育。罰則を伴う運用規程の施行。 多要素認証の導入。 |
| ショルダーハッキング | ソーシャルエンジニアリング | ユーザーの不注意。 | ユーザー教育。のぞき見防止フィルターの導入。 多要素認証の導入。 |
| 上司や管理者を装った攻撃者からの問い合わせによる漏洩 | ソーシャルエンジニアリング | ユーザーの不注意。 | ユーザー教育。(メールや携帯電話で再確認する等) 多要素認証の導入。 |