「総当たり攻撃」の版間の差分

ひとつのIDに対してたくさんのパスワードを試すのではなく、決め打ちしたパスワードをいくつものIDに対して試す攻撃方法もあり、これは「逆総当たり攻撃」（リバースブルートフォース）と呼ばれる。これは「パスワード長が短くパスワードに使用できる文字種が少ない」システムに対して極めて有効である。たとえば「IDは必ず連続した数字10桁、パスワードは必ず数字4桁」といったシステムでパスワードに偏りがないと想定すれば、パスワード「1234」をID:1000000000からID:1000010000までの10,000件のIDに対して試行すればかならずひとつのIDに不正ログインできる計算になる。またこの場合、銀行ATMにあるような「ひとつのIDに対するパスワードの試行回数を制限する」防御方法では防ぐことができない。1万枚のキャッシュカードを手に入れた犯罪者が1枚ずつカードを試すところを想像されたい。4桁数字の場合パスワードは100万パターン存在するが、同じパスワードで100万IDに試行した場合、確率論として1IDは突破できる計算となる。2014年1月末から3月にかけてJALおよびANAへの不正アクセスは、パスワードロックがかかる寸前まで総当たり攻撃を行い、ロック寸前にIDを変更する「総当たり攻撃」と「逆総当たり攻撃」の組み合わせで行われた<ref>[http://itpro.nikkeibp.co.jp/atcl/column/14/346926/090100042/ 危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化(日経コンピュータ)]</ref>。また、この際は、成功確率を上げるために確率が高いパスワードを試行された可能性が指摘されている為、考えようによっては、辞書攻撃も組み合わされた可能性もある。