漏れたパスワードは、他のサービスで悪用される
パスワード流出が怖いのは、どこか1カ所でパスワードが流出すると、他のサービス・サイトでも同じパスワードを使ってアカウントに不正アクセスされたり、悪用を試みられたりするケースが後を絶たないからだ。
悪意の攻撃者はWebサイトからパスワードを盗み出すのに、主に「ブルートフォース攻撃(総当たり攻撃)」「辞書攻撃」「脆弱性攻撃」「リスト型攻撃」といった技術を使う。
ブルートフォース攻撃とは、例えば3ケタであれば「000」「001」「002~998」「999」など総当たりで文字・数字などの組み合わせをすべて試してみる方法のことだ。
辞書攻撃ではこれに加えて「辞書」を使い、単語などの組み合わせを試みる。そのため、「password」「QWERTY」「Hello」「Summer」「Winter」というような簡単な単語をパスワードにするのはやめた方がいい。一単語をパスワードにすると、非常に類推しやすくなってしまうからだ。
脆弱性攻撃とは、システム上の弱点となる入力データなどを使ってデータを出させるという方法。サービスを提供しているシステムの情報などを取り出すことができることが多いが、前述のように生のパスワードデータはシステムが持っていないことが多い。
そして、最後のリスト攻撃だが、これは、IDとパスワードの組み合わせのリストを利用し、アクセスしてみるという方法だ。このリストに、過去に流出したID・パスワードのデータが使われる。
つまり、アカウント情報(ID・パスワード)流出が確認されているサービスと同じID・パスワードを使い回していると非常に危険だ、ということだ。過去に流出したユーザーIDとパスワードの一覧は、ダークWebなどを探せば見つけられる。こうして拾った過去の「ユーザー名・パスワード」のペアで不正ログインを試みられる可能性などは高い。だから、同じパスワードを複数のWebサイトやサービスで使い回すのは危険だし、パスワード変更を勧める理由の一つでもある。
