なぜ、フォーム認証にはブルートフォースアタックができて、Basic認証にはできないのでしょうか？

WordPressをブルートフォースアタックから守るために、Basic認証をかけるという記事が散見されます。

そのことから、フォーム認証にはブルートフォースアタックが可能で、Basic認証にはブルートフォースアタックが不可能という認識でおります。

フォーム認証とBasic認証の基本的な仕組みは理解しております。

今回、WordPressをセキュアにしたいということではありません。

WordPressをブルートフォースアタックから守るなら、徳丸さんの記事で紹介されている「SiteGuard WP Plugin」を導入しておけば、問題ないかと思います。

WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう

なぜ、フォーム認証にはブルートフォースアタックができて、Basic認証にはブルートフォースアタックができないのでしょうか？

ブルートフォースアタックのやり方を知りませんが、素人の考えだと、例えば401レスポンスが帰ってきたら、ランダムにユーザー名とパスワードをリクエストするようなソフトやプログラミングを作ると可能なのではと単純に考えてしまいますが、Basic認証の仕組みに対して、そういうのは作れないということなのでしょうか？

それとも、そもそもの私の認識に誤りがあり、Basic認証にもブルートフォースアタックが可能だけど、攻撃者はブルートフォースアタックが簡単？なフォーム認証に対して行っているだけということなのでしょうか？

詳しい方いれば、教えてくださいm(__)m

行動規範の内容に同意します

回答3件

既に回答がついているとおり、BASIC認証でもブルートフォースアタックは可能です。
しかし、BASIC認証が設定されていると、ブルートフォースアタックが難しくなる、という効果はあります。攻撃者は、まずBASIC認証を突破してBASIC認証のIDとパスワードを調べ、その次にWordPressのIDとパスワードを調べなくてはならないからです。ただ、この目的のためにBASIC認証をお勧めしようとは思いません。WordPressのパスワードをしっかり設定すれば、仮にブルートフォースアタックを受けても、成功することはないからです。

ただ、一般論として、アプリケーションとは別に、Webシステムの管理画面に対してBASIC認証を設定しておくと効果が見込めるケースはあります。それは、ブルートフォースアタック対策ではなく、脆弱性対策としてです。WordPressやphpMyAdmin等の脆弱性の中には、管理者パスワードを知らなくても攻撃できるものがあります。そのような脆弱性に対しても、BASIC認証を設定してあれば、BASIC認証を突破した後でないと脆弱性に対する攻撃ができない（そもそも脆弱性があるかどうかも分からない）からです。

更に一般的に言えば、Webシステムの管理画面はインターネットからはログインできなくするとよいのですが、それができない場合の代替策としてBASIC認証を用いるということはよくあります。WordPressの管理画面にBASIC認証を設定するのは、そのような目的であり、ブルートフォースアタック対策ということ（だけ）ではないと思います。

投稿2016/09/04 03:51

ockeghem

総合スコア11701

退会済みユーザー

2016/09/04 04:16 編集

おお！徳丸さんだ！なるほど、ブルートフォースアタックへの対策としては、パスワードを適切に設定することで、さらにBasic認証をかけることで、攻撃者の手間を増やし、ログイン画面に脆弱性があった場合の対策にもなるんですね^^ ログイン画面に脆弱性の可能性があるということも考慮しないといけないんですね。勉強になりました。ありがとうございましたm(__)m

行動規範の内容に同意します