辞書攻撃は、事前にコンパイルされた潜在的なパスワードのリストを体系的に循環させることで認証システムを侵害するために頻繁に利用される資格情報クラッキング手法です。 辞書ベースの攻撃とも呼ばれるこの手法は、ユーザーが標準的な単語、頻繁に使用されるフレーズ、固有名詞、または予測可能な文字の組み合わせに基づいてパスワードを選択する傾向を悪用します。 さらに、攻撃者は、スパム キャンペーン用の有効な電子メール アドレスを自動的に列挙するために、辞書ベースの方法を頻繁に使用します。
考えられるすべての文字の組み合わせを徹底的に試す(膨大な計算リソースと時間を消費する)ブルートフォース攻撃とは異なり、辞書攻撃は、一般的に選択されるパスワードや漏洩したパスワードを含む定義済みの単語リストを活用し、より迅速かつリソース効率の高い侵害の試みを可能にします。
辞書攻撃を実行するための辞書および専用のソフトウェア ツールは、セキュリティ コミュニティ リソース内で商用および無料で広く入手可能です。 辞書のエントリ数は数千から数百万に及ぶ規模です。 IT 管理者やセキュリティ専門家は通常、これらのツールと辞書を積極的に活用し、セキュリティ テスト、侵入評価、パスワード監査を実施して、システムがこの攻撃ベクトルに対してどの程度脆弱であるかを評価します。
一般的な軽減手法としては、辞書のエントリまたは予測可能なパスワード リストからのみ派生した資格情報を自動的に拒否するパスワード作成ポリシーを適用することが挙げられます。 ただし、辞書フィルタリング ポリシーが過度に制限されると、ユーザー エクスペリエンスに悪影響を与え、準拠したパスワードの選択が困難になる可能性があります。 したがって、セキュリティ担当者は、パスワードの複雑さの要件と実際の使いやすさの考慮事項のバランスを取る必要があります。
もう 1 つの重要なポリシーは、「Joe アカウント」(ユーザー名とパスワードが同一のユーザー アカウント) を削除することです。これらのアカウントは、自動化された辞書攻撃ツールの主なターゲットとなることが多いためです。 セキュリティ管理者は、少なくとも、Joe アカウントの作成を禁止する制御を実装し、パスワードの複雑さのガイドラインを適用して、資格情報の推測の試みが成功する可能性を最小限に抑える必要があります。