セキュリティを突破する技術者としてハッカーが有名ですが、彼らの手法では高度な技術によりサイトの脆弱性やウィルスの混入によりログインそのものを突破し、データの不正ダウンロードや最悪サイトを支配を可能にします。
ユニゼロワンでは、日夜対策されるプログラムのアップデートやプラグインなどは正規のもののみを使用するなどの対策を全ての制作に適用しておりますが、ログイン処理における不正に対してはさらなる対策が必要とされる場合もあります。
但し、過度な対策をしてしまうと、ログイン手続きが煩雑になったり、万が一手酢月を忘れた場合は管理者もログインができなくなる弊害があります。
セキュリティ上対策すべき不正とは、総当たり攻撃とも呼ばて古くからある極めてシンプルにログインセキュリティを破る手法で、別名ブルートフォースアタックと呼ぼれており今日でもログインを不正に行う場合の主流となっています。
プログラムなどを使用して、特定のIDに対するパスワードを、ログインできるまで入力を繰り返して、不正にログイン突破を試みます。
理論上時間さえかければ必ず不正ログインできる方法です。
コンピューターの通信速度と処理速度が速くなった今、総攻撃にかかる時間は飛躍的に短くなっています。
ひと昔前の一般のコンピューターでも、4桁のパスワード(英字(大文字、小文字区別無)だけであれば、最大4秒以内に総攻撃が完了し、確実に突破されてしまいます。
但し、同じ条件でもパスワードを10桁に増やすと約32年かかる計算になります。
ユニゼロワンでは、ブルートフォースアタックに特化した対策機能を数多くご用意しております。
ブルートフォースでは特定のIDに対するパスワードについて総攻撃をしますが、特定のパスワードに対してIDの総攻撃をするのがリバースブルートフォースアタックです。
●登録メールアドレスでは、ログインできなくする。
メールアドレスでは特定されやすく、リスクが大きくなります。
然しながら、ユーザーがIDを忘れた場合など、パスワードがあってもログインができなくなり不便ですので、バランスを考えて判断します。
また、パスワードをより長く複雑なものにすることも大きな効果があります。
●ログインIDとユーザーネームは別のものとする。
コメントの公開などでユーザーネームが公開されることの対策です。
●ログインページを変更する。
WordPressで制作されたサイトは通常ログインページのURLは共通で決まっています。
たとえログインを必要としないサイトでも、誰でもログインページを表示でき、管理者としてログインを不正に試すことが可能です。
WordPressのログインページを任意の別ページに変更する)ことが有効です。
●一度(もしくは設定した回数)入力に失敗すると一定時間入力できないようにする。
●正しい入力があっても意図的に1度必ず失敗するようにして、2回目も同じ正しいパスワードの場合だけ認める。
●クイズを合わせて行う。
決められた人しか知らない回答に対するクイズ総攻撃を行うプログラムでは簡単に認識できないようにします。
●CAPTCHA
以前Googleでも推奨されたいた、機械には判読しずらい「ぐにゃぐにゃ」した文字を入力する方式ですが、今日のAI技術では判読可能となっています。
●2段階認証方式(多要素認証=MFA)
金融機関のログインなどでよく見かける対策です。
ログインの都度、あらかじめ設定されたスマートフォンなどに送信される番号(ワンタイムパスワード)を入力する必要があります。
設定したスマートフォンなどを紛失するとログインできなくなりますので注意が必要です。
●ソーシャルログイン
主にGoogleなどのSNSアカウントでログインする方式です。
ある適度のセキュリティ性は保たれていますが、SNS登録先のアカウントのIDとパスワードが漏洩すると不正ログインされてしまいます。
一方新規ユーザーは、該当アカウントさえあれば新たにホームページで会員登録をする必要がなく手軽にログインできる環境と言えます。
当社の制作するホームページでは、オプションで上記以外にもさまざまなセキュリティ対策(機能)を組み合わせることができます。
但し、あまりにも厳重にしすぎると不便になりますので、バランスを考えて行うことが重要です。