固定式パスワード認証とは、あらかじめ登録された(変更するまで変わらない)固定の
パスワードを用いて認証を実施する方式である。
●運用面での脆弱性
・長期間パスワードを変更せずに使用している
・パスワードの文字数が短い
・使われている文字種が少ない
・単体で意味があるパスワード
・連想可能(家族の名前、生年月日)なパスワード
・ユーザIDと同じまたは告示している
●運用面での脆弱性に対する対策
・他人に推測されにくいパスワードを設定する
・設定したパスワードを絶対に人に教えない
・設定したパスワードはメモをとることなく覚えておく
・こまめにパスワードを変更する
・過去に使ったパスワードを繰り返し使用しない
●実装面の脆弱性
・システムへのログインなどの認証プロセスにおいてパスワード
そのものがネットワークを平文で流れていくしくみになっていると
経路上でパケット盗聴によってパスワードが容易に盗まれてしまう
脆弱性がある。
FTP、POP3、Telnet、HTTPのベーシック認証、PAP等の認証プロトコル
●実装面の脆弱性への対策
認証プロトコルや通信経路全体を暗号化するなどの対策を行なう。