2015年1月30日金曜日

IT社長さんは「リスト型アタック」を防止できるか?





インターネットで世界中とつながっているWEBサイトはいつ「辻斬」にあっても
おかしくない。
サイトが脆弱であれば、サイトサイドに文句も言えるが、この攻撃方法だと
IDとPWの設定の仕方で被害に合う。

このアタックのポイントは、他にサイトで使用されている「IDとPW」を入手し、
それを用いる点にある。
全てのサイトにアクセスする際のIDとPWを「全てユニーク」にしているような
賢明な利用者はまずいない・・・っていうか、利用しているサイトの数がそこそこあり、
全てユニークなんかできっこないってことにある。


シマンテックの調査(利用サイト数)だと・・・

 4箇所以下:26%
 9箇所以下:29%
19箇所以下:24%


ちなみにIT社長さんですが・・・・


沢山ありすぎて覚えていません(苦笑)
この調査でも一割程度は「不明」と回答しているようです。
常時利用するサイト(金銭的被害発生の可能性あり)だけでも・・・

上記の「24%」ゾーンです。
従って、ある程度はユニークにしていますが「完全」は・・・無理(きっぱり!)

幸いにして、メールアドレスをIDにするようなワキの甘いサイトは
使っていません。
このようなサイトは、結果的にPWだけの「一点認証」に過ぎず、危険極まりない。
通販サイトなんかに多いですねえ。


銀行系は、ID・PWは完全ユニークにしています(偉いでしょう!)
それに二次暗証番号方式も採用しています。
交通系も同様ですから、勝手に新幹線予約をされるリスクは少ないし、
予約した時点でアラートが鳴ります。
クレジット系もユニークです。それに「画像認証」なんか面倒なものを導入しています。



問題はめったに使わないサイト・・・そもそもIDもPWも覚えていないし、
登録したかどうかも定かではない。



まあ、最後はカード決済になるので、こまめに「利用実績」確認をやってますので
被害にあえば、即座にディフォルト!!
当然WEBサイトも、頻繁にノックします。



だから、サイトサイドもあんまり面倒なプロテクトをやってほしくない。
許しがたいのは・・・

大文字小文字認識(たいてい入力ミスをやらかす)
特殊記号必須(スマホだと入力が面倒)
副次認証システム(中身次第ですが・・・)
頻繁なPW変更と履歴管理(頻繁に変更する効果は低い)













0 件のコメント:

コメントを投稿