ＩＴ社長さんは「リスト型アタック」を防止できるか？

インターネットで世界中とつながっているＷＥＢサイトはいつ「辻斬」にあっても
おかしくない。
サイトが脆弱であれば、サイトサイドに文句も言えるが、この攻撃方法だと
ＩＤとＰＷの設定の仕方で被害に合う。

このアタックのポイントは、他にサイトで使用されている「ＩＤとＰＷ」を入手し、
それを用いる点にある。
全てのサイトにアクセスする際のＩＤとＰＷを「全てユニーク」にしているような
賢明な利用者はまずいない・・・っていうか、利用しているサイトの数がそこそこあり、
全てユニークなんかできっこないってことにある。


シマンテックの調査（利用サイト数）だと・・・

　４箇所以下：２６％
　９箇所以下：２９％
１９箇所以下：２４％


ちなみにＩＴ社長さんですが・・・・


沢山ありすぎて覚えていません（苦笑）
この調査でも一割程度は「不明」と回答しているようです。
常時利用するサイト（金銭的被害発生の可能性あり）だけでも・・・

上記の「２４％」ゾーンです。
従って、ある程度はユニークにしていますが「完全」は・・・無理（きっぱり！）

幸いにして、メールアドレスをＩＤにするようなワキの甘いサイトは
使っていません。
このようなサイトは、結果的にＰＷだけの「一点認証」に過ぎず、危険極まりない。
通販サイトなんかに多いですねえ。


銀行系は、ＩＤ・ＰＷは完全ユニークにしています（偉いでしょう！）
それに二次暗証番号方式も採用しています。
交通系も同様ですから、勝手に新幹線予約をされるリスクは少ないし、
予約した時点でアラートが鳴ります。
クレジット系もユニークです。それに「画像認証」なんか面倒なものを導入しています。



問題はめったに使わないサイト・・・そもそもＩＤもＰＷも覚えていないし、
登録したかどうかも定かではない。



まあ、最後はカード決済になるので、こまめに「利用実績」確認をやってますので
被害にあえば、即座にディフォルト！！
当然ＷＥＢサイトも、頻繁にノックします。



だから、サイトサイドもあんまり面倒なプロテクトをやってほしくない。
許しがたいのは・・・

大文字小文字認識（たいてい入力ミスをやらかす）
特殊記号必須（スマホだと入力が面倒）
副次認証システム（中身次第ですが・・・）
頻繁なＰＷ変更と履歴管理（頻繁に変更する効果は低い）