資料の紹介
Active Directoryは、多くの企業で社内システムのIDとパスワードの集中管理に使われていることから、長年にわたり「パスワードクラッキング」の標的になってきた。近年は攻撃の手口も一段と巧妙になり、Active Directoryの標準機能「パスワードポリシー」への依存や、パスワード管理体制を見直すべき段階に来ている。
Active Directoryに保存されたユーザーのパスワードは、管理者でも調べられない形式になっているが、「Pa$$word」や「@dmin」のように、英単語を多少アレンジした程度のものなら、クラッキングツールで割り出すことが可能だ。しかし、Active Directory標準のパスワードポリシー機能を使って、覚えやすく盗まれにくいパスワードをユーザーに作成させるのには限界がある。
本資料では、辞書攻撃、ブルートフォース攻撃など、「パスワードクラッキング」の代表的な手口を解説した後、対策として、攻撃に強いパスワードの作成をユーザーに強制する方法を示す。あわせて、二段階認証などでActive Directoryの機能を拡張するパスワードポリシー強化ツールを紹介する。
