日々一歩ずつ このブログでは、勉強になったことや躓いたこと、役立つことなどを雑多に書いていきます。

公開日
更新日

WordPressのPWは予想されにくい文字列で

どんなことでもそうですが、パスワードはあなた自身が覚えやすいからといって、すぐに連想できそうな文字列は避けておくべきです。

悪意ある人は、連想しやすそうな文字列からパスワードを見つけ出そうとします。

今回は、私が利用しているプラグイン「SiteGuard」から見たアクセスログを引き合いに出しつつ、安易なパスワードの危険性について書いてみたいと思います。

不正にアクセスしようとする痕跡がありました

下記画像はSiteGuardから確認した、wordpressへログインを試みた記録です。

 

この結果の欄で失敗と表示されているのは、私以外の見知らぬ誰かがログインしようとして失敗したことを表しています。

このように、まったくアクセス数も稼げていない、注目度の低すぎる私のサイトですら、短時間の間に何度もログインを試みていることがわかります。

(一日に1人か2人アクセスがあるぐらいです。。。)

もし自分自身のブログがマイナーなもので、知名度が低く不正ログインの標的になることも無いだろうと思う人がいれば、それは間違いです。

こういった不正ログインを試みるのは、無差別です。

私のブログへ不正にログインを試みた結果でもその兆候が確認できます。

ログイン名に注目してみると、一般的にログイン名として使いそうなものを入力して不正ログインを試みていることが伺えますが、日本人にとっては馴染みのないものが混ざっています。

特に上から4番目のazertyです。

ここからは私の推測ですが、azertyはazerty配列をキーボードに採用しているところでは馴染み深い単語と思われます。

(azerty配列については詳しくはこちらからAZERTY配列-wikipedia)

主にフランスで使われているキーボード配列なので、フランスでログイン名に使っている方がひょっとしたら多いと見越しているのかもしれません。

また、プラグイン「SiteGuard」ではアクセスを行った相手のIPアドレスも表示されるので、大まかにどこからログインしてきているのか確認できます。

そこから確認するにフランスからのアクセスだったので、azertyでログインを試す発想が出たと思われます。

このように、不正ログインを試みるサイトは限定せずに手広く行っていると思われます。

また、次に説明するような、どのような方法で不正ログインを試みているか方法を知っていることで、安全なパスワードへの意識が高まるでしょう。

総当り攻撃。辞書攻撃

パスワードを破るありふれた方法として、総当り攻撃(ブルートフォースアタック)があります。

下記のwikipediaで説明されている通り、すべてのパスワードパターンを試して、正解を見つけるという方法です。

総当たり攻撃 – Wikipedia

気の遠くなりそうな方法ですが、もちろんこれは簡単なプログラムを作って自動化して行うものです。

よって、パソコンの性能次第で作業時間は変わります。

wikipediaのページの中で、いくつかの機関がテストした結果を示していますが、確認してみればなかなか侮れない方法であることがわかると思います。

市販のパソコンでも、日々飛躍的に進歩を遂げていますので、いままでに使っていたパスワードが短時間で解読されてしまう可能性があることを頭に入れておく必要があります。

また、総当り攻撃をいくらか効率化した、辞書攻撃もあります。

辞書攻撃 – Wikipedia

人が考えるパスワードにはある程度のパターン(良く耳にするようなフレーズや単語)があることを見越して、そういった単語をあらかじめプログラムに登録しておいて、その単語をメインに様々な文字列を組み合わせて解読を行うものです。

このような攻撃方法もありますので、覚えやすいからといって何かのフレーズなどをパスワードに含めないようにしましょう。

 

ただ、こういった総当り攻撃の対策として、ログイン試行制限を行っていることが一般的に多いので、その場合は総当り攻撃が難しくなります。

wordpressは連続誤入力によるログイン試行制限が無い可能性がある

ただ、wordpressの場合は連続誤入力の試行制限が無い可能性があります。

私が気づいていないだけかもしれませんが、下記のCodexで不正ログイン対策の一つとしてログイン試行制限を行うプラグインが示されていることから、無い可能性はあると思います。

プラグインを利用しない場合には、総当り攻撃がしやすい可能性があるので注意が必要です。

ただ、wordpressではなくサーバー側で、異常なアクセスが検知されればアクセス制限が行われる可能性もありますが。

ブルートフォース攻撃 – WordPress Codex 日本語版

また、逆にログイン試行制限をしていれば、パスワードを複雑にしなくてもよさそうに思えますが、そうとも言えません。

不正ログインを行うPCのIPアドレスを頻繁に変える、また別のPCを乗っ取る技術があれば、ログイン制限が掛かるたびにIPを変更して別のユーザーと思わせてまた総当り攻撃を繰り返すということもできます。

ただ、ここまでくると個人のブログに対してそこまで行うことはないとも思えますが。

パスワード強度メーターを利用する

このように、アクセス試行制限などの機能をつけたといっても完全とは言えません。

最終的にはパスワードの複雑さが不正ログインを許すか許さないかの境目であると思いますので。

では、どんなパスワードなら安全なのか?

あなた自身が考えたパスワードが安全かどうか確認する方法はwordpressにあります。

管理画面の左のサイドメニューにあるユーザーからあなたのプロフィールを選択、表示されたページの一番下に新しいパスワードという項目があります。

この項目の自動生成を押せば、非常に強力なパスワードが生成されます。

ただ、生成されたパスワードは強力ゆえ非常に覚えづらく長いので、この生成されたパスワードのフォームに、ある程度は覚えやすい長さでパスワードを考えてみると良いです。

入力するとそのパスワードが強力かどうか表示されるので、それを目安にwordpressのパスワードを見直してみましょう。

今回は私の推測も合わせて、安易なパスワードの危険性についてお伝えいたしました。

これを読んでいただき、パスワードへの意識を高めていただけたら幸いです。

  • ブログランキング・にほんブログ村へ
  • このエントリーをはてなブックマークに追加

関連記事

サイトについて

管理人

勉強になったことや躓いたこと、役立つことなどを雑多に書いていきます。
サイト構築やマーケティングの勉強がてら作ってみたサイトなので、そういった記事が多くなるかもしれません。

カテゴリー

上へ