辞書攻撃とは、ブルートフォース攻撃のソフトなものであると言えます。"1234"といったようなよく使われるパスワードリスト(辞書)を使用してログインを試み、ウェブサイトやサービスに不正に侵入します。
辞書攻撃は、一般的で見落とされがちな、弱いパスワードの使用法の脆弱性を狙ったものです。あらゆる可能な組み合わせを系統的に試すブルート フォース攻撃とは異なり、辞書攻撃では、一般的なフレーズ、よく使われる置換語 (「p@ssw0rd」など)、広く使用されている認証情報など、可能性のあるパスワードの事前準備リストを使用します。このアプローチは、覚えやすく、推測しやすいパスワードを選択するというユーザーの傾向を利用するため、ブルート フォース攻撃よりも効率的です。
これらの攻撃は、強力なパスワード ポリシーを持たないシステムや、パスワードの複雑さの要件を強制していないシステムに対して特に効果的です。ユーザーはセキュリティよりもシンプルさを優先することが多いため、辞書攻撃によって保護されたアカウントにすぐにアクセスできるようになります。このことから、文字、数字、記号を組み合わせて使用したり、一般的な単語やフレーズを避けたりするなど、強力なパスワードの習慣についてユーザーを教育することが重要であることがわかります。
辞書攻撃に対抗するため、多くのシステムでは、ログイン試行に一定回数失敗するとアカウントをロックアウトするポリシーを実装しています。これにより、許可される推測回数を制限することで、攻撃を阻止できます。さらに、CAPTCHA を組み込むことで、自動化された攻撃スクリプトと正当な人間によるログイン試行を区別できます。2 要素認証や多要素認証などの高度な認証方法では、パスワードだけでなく追加の ID 証明を要求することで、セキュリティがさらに強化されます。
さらに、組織は定期的にセキュリティ監査を実施して、システム内の脆弱なパスワードを特定し、対処することができます。パスワード マネージャーの使用を推奨または強制することで、ユーザーがアカウントごとに複雑で一意のパスワードを維持し、辞書攻撃に対する脆弱性を軽減することもできます。これらの対策と継続的なセキュリティ意識向上トレーニングを組み合わせることで、辞書攻撃によってもたらされるリスクに対する包括的な防御策が実現します。