利用者によるセキュリティ (パスワードについて) 齊藤 大晶 情報実験第 2 回 2009/04/24 (初版作成:河野 仁之)

もくじ パスワードの必要性・重要性 パスワード漏洩による被害 悪いパスワード・良いパスワード UNIX におけるパスワード管理

普段の生活とパスワード 本当に使っていい 人間なのか？ 銀行口座の暗証番号 自動証明書発行装置 (AMC) の暗証番号 オンラインゲームなどのログインパスワード などなど・・ 本当に使っていい 人間なのか？

UNIX 利用におけるパスワード UNIX は複数の人間で機械を共有ることを前提に設計 システム管理者 (スーパーユーザ, root) と一般利用者 (ユーザ) root がユーザに利用権限（アカウント）を配布 アカウントを持たない人による不正利用を防ぐことが必要

利用者全員に適切なパスワードの設定が義務づけられる 不正利用の防御策 利用開始手続き(ログイン)時の認証 ユーザ名 + パスワード UNIX 利用時における唯一の認証 利用者全員に適切なパスワードの設定が義務づけられる

パスワードが盗まれると どのような被害に遭うのか？

パスワード漏洩時の被害 本人が困る 周囲の人が困る 世界の人が困る 本人情報やデータの流出、悪用、破壊 例えば明日朝 9 時締切のレポートが消える 周囲の人が困る 個人情報の流出, 共用システムやその中の資源が破壊 例えば inex の website が消える 世界の人が困る 乗っ取られたコンピュータを足がかりに他のコンピュータが攻撃される

具体的な攻撃の手順 パスワードクラックにより, A さんのパスワードを入手 A さんに成り済ましてログイン 攻撃開始 ! スパムの配信やデータの消去 Aさんの本人情報や打鍵情報の取得 (パスワード, クレジットカード情報)

さらなる攻撃の例 パスワードクラックにより root アカウントを入手 PC 内の全ユーザの情報を見放題 乗っ取った PC を経由して、他の PC へパスワードクラック (踏み台) 出来るだけ多くの数の PC を乗っ取り, 次の(よりよい)獲物へ

クラックされた PC の行く末 一度クラックされた PC のホスト情報は裏で出回る 最終的にはホスト名の廃止へ セキュリティーの甘いホストであると認識され, どんどん攻撃を受ける 数ヶ月ごとにパスワードを盗まれる ! 最終的にはホスト名の廃止へ そういえば情報実験機には joho21 というPC がありませんね… このスライドがブラックすぎると思ったら消してくださいね (2007/10/12, 光田)

パスワードは　最後の砦

パスワードの有効性 どんなパスワードでも 「砦」になるとは限らない 自分だけの「良い」パスワードをつける事が重要 どんなパスワードでも 　　　 「砦」になるとは限らない 極論: 空パスワードは全く無意味 自分だけの「良い」パスワードをつける事が重要

最低限パスワード 大文字、小文字、数字、記号を少なくと も 8 文字以上 並べる 制限文字数を超えて並べた場合、先頭が有効とされる

パスワードクラックの手口 １ 全件探索: Brute Force Attack 長いパスワードならばクラックは困難 パスワードとして可能なすべての組み合わせを試す 長いパスワードならばクラックは困難 400 万アタック/秒 (Core2 Duo T8300 (2.4GHz) マシン 1 台相当)では … 5 文字 : 約 23 分 30 秒 6 文字 : 約 35 時間 7 文字 : 約 129 日 8 文字 : 約 31 年 9 文字 : 約 2809 年 ＊パスワードに使う文字を アルファベットの大文字・小文字, 数字, ~@#$%^&*()_+-=[]{},.\“/?:;` の全 89 文字とした場合

パスワードクラックの手口 2 辞書探索: Dictionary Attack 様々なデータから単語を抽出し, クラッキング用辞典を作成 登録単語総数は 100 万語とも… オンライン英和辞典で 8 万語 専門用語や趣味の単語まで網羅 Brute Force Attack よりも早くクラックされてしまう可能性大！

こんなパスワードはダメ !!! 1 例) 名前 倉本圭, ログイン名 keikei, 北海道旭川市在住, tel 012-333-4567 ログイン名, 名前, それに類するもの Kuramoto, Kiyoshi, keikei, kurakiyo kiyokei! 「sを$」「oを0」「Iをi」など単純な規則「だけ」で変えたもの Kuram0t0, k1yo$hi 個人情報から推測できるもの 012333-4, Asa-Hokk

こんなパスワードはダメ !!! 2 人名、辞書に載っている単語（英和問わず）、コマンド、固有名詞 上記の繰り返し, 逆綴り kuramoto, flower, aozora, adduser, salomon, japan 上記の繰り返し, 逆綴り Flowerflower, rewolf マニアックな単語もダメ MagnetCoationg 全部同じ数字や同じ文字 11111111, aaaaaaaa

パスワードマナー 人が打鍵しているところは見ない （視線をそらす） アカウント (パスワード) の貸し借りはしない パスワードは他人に教えない （管理者にも） パスワードは出来るだけメモせず、記憶する メモする場合絶対 捨てない ・ 見せない ・ なくさない 別のマシンでは別のパスワードを使う パスワードは頻繁に変更する 初期パスワードは最初のログイン時に変更

最新パスワード動向 シングル・サインオン普及か？ ユーザが一度認証を受けるだけで、許可されている機能をすべて利用可能 1 つのパスワードで複数の PC へログイン可能 1990 年代に既に商品化されていた 現在、大学等で使われている

UNIX における パスワード管理

UNIX におけるパスワード管理 UNIX (Linux) ではデータは「ファイル」という形で記録, 管理 ファイルを整理するために「ディレクトリ（フォルダ）」が存在 ディレクトリ自身もファイルの一種 中に格納されているファイル名一覧が明記 パスワード等の利用者に関する情報もファイルとして保存 /etc ディレクトリの passwd, shadow, group

Passwd, shadow, group ファイル ユーザの基本情報を記録. ユーザは閲覧可 Shadow 暗号化されたパスワード情報を記録. ユーザは閲覧不可 Group グループの基本情報が記録 UNIX には柔軟な管理の目的でグループという概念がある. どのユーザも必ずいずれかのグループに属している.

Shadow ファイルと暗号化 1 Shadow ファイルの中身 addie:ODiMl52Ebie6U:10886:0:99999:7:::0 adam:kHTsizRZqOpqE:10907:0:99999:7:::0 addison:iJMp94cZHbJ26:10910:0:99999:7:::0 adon:zK1kwbbc6.IeM:10905:0:99999:7:::0 samson:fM77gWFKHu4DU:10889:0:99999:7::: bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0 david:YTpjdEsdAMFJ2:10928:0:99999:7:::0

Shadow ファイルと暗号化 2 パスワードは暗号化されて格納 暗号化されたパスワード 暗号化には MD5 が利用される addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード パスワードは暗号化されて格納 暗号化には MD5 が利用される 古くは crypt が利用されていた. 今回は crypt を例に詳細を解説

パスワードの暗号 暗号化に使う 乱数(Salt) 暗号化された パスワードの実体 Crypt をつかうと… addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化に使う 乱数(Salt) 暗号化された パスワードの実体 Crypt をつかうと… iMl52Ebie6U = crypt (Passwd, OD ) このように暗号化の手順は非常に簡単 ログイン時は入力したパスワードを暗号化し, それが /etc/shadow の内容と一致するかを判断

まとめ アカウント パスワード コンピュータを利用する権限 アカウントの利用者認証 「良い」パスワードじゃないと無意味 実習編では情報実験機にアカウントを作成します。 あなただけの「よい」アカウント名とパスワードを考えてください !

参考文献 ・ 強力なパスワード： その作り方と使い方 Microsoft https://www.microsoft.com/japan/protect/yourself/password/create.mspx ・TARUMA‘s Lecture 2006 情報ネットワーク論Ⅰ［大商大、前期］ http://tnet2001.daishodai.ac.jp/moodle/ ・WIDE インターネット概論 第08回(2004/11/26) 「パーソナル・セキュリティ」 http://www.soi.wide.ad.jp/class/20040025/materials_for_student/08/gairon-2004f08-RELEASE.pdf ・IT用語辞典 e-Words – セキュリティ – http://e-words.jp/p/c-security.html ・パスワードを作成する方法 http://www.yone.ac.jp/shokuin/miyake/passwd.html ・セキュリティ総合ソリューションサイト – これが不正進入の手口だ! http://premium.nikkeibp.co.jp/security/special/index01_05_03.shtml ・良いパスワードとは http://www.7key.jp/security/pw.html ・＠IT --パスワードが安全か調べるには（John the Ripper編） http://www.atmarkit.co.jp/flinux/rensai/linuxtips/244johnripper.html ・パスワード自動生成ホームページ) http://www.maido.co.jp/network/passmake2.html