自分の備忘録のため記事にします。
細かい説明がないかもしれませんがご容赦を。
リバースブルートフォースアタックはブルートフォースアタック(総当たり攻撃)と並んで古典的なパスワード解析手法です。
「ブルートフォース(brute force)」という言葉の意味(「強引な」とか「力ずく」)を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。
ブルートフォースアタック(総当たり攻撃)はIDを固定してパスワードをどんどん変えてパスワードを割り出す手法です。
古くはシュワちゃんのターミネーター2で銀行のATMに機械を差し込みパスワードを総当たりで割り出す手法で現金を不正に引き出すシーンがありました。
現実には、一つのIDに対してパスワードを連続して一定数以上間違えた場合IDにロックが掛かりそれ以降操作が出来なくなりますので、今では通用しません。
これは、キャッシュカードの所持者の有効性を確認するための二段階承認としてパスワードを要求する事から始まっていると言われます。
これが物理的なカードを介在する取引で有れば、パスワードが数字4桁でも一定の抑止効果になったと思います。
ところが時代は進み、物理的なキャッシュカードが無くても店番と口座番号、パスワード、口座名義人がわかれば取引が出来る様になりました。
店番も口座番号のパスワードも原則数字。
人の手で入力するのは大変ですが、今やコンピュータを使う事で簡単にブルートフォースアタック(総当たり攻撃)を行う事ができてしまいます。
ただし、上述したとおり一つのIDに対してパスワードを連続して一定数以上間違えた場合IDにロックが掛かりそれ以降操作が出来なくなる制御があります。
ロックされるIDが頻発すれば銀行側が警戒する事になります。
そこで考えられたのがリバースブルートフォースアタックの様です。
ブルートフォースアタック(総当たり攻撃)の場合は、IDを固定してパスワードを変えて行きますが、リバースブルートフォースアタックでは、パスワードを固定してIDを変えていきます。
リバースブルートフォースアタックを防ぐには、パスワードを長く英字と数字を組み合わせたものにするなどといった対策が重要となるのです。
ところが、銀行の暗証番号は伝統的に4桁の数字。
簡単に突破されてしまわれそうですが、銀行によって被害に遭う銀行とそうでない銀行がありました。
それはなぜなのか?
長くなりましたので続きは明日。