利用者が守るセキュリティー (パスワードについて) 物理実験1 情報実験第二回 2004/10/08 更新:2004/10/08 K.Michimasa 作成:2000/10/13 H.Kono
利用者が守るセキュリティー (パスワードについて) ■普段の生活とパスワード ・銀行口座の暗証番号 ・自動発行装置(ACM)の暗証番号 権利行使することを 認められた人間か?
利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード UNIX (Linux) は、Windows や Macintosh と違い、 複数の人間で機械を共用することを前提に設計。
利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード UNIX (Linux) は、Windows や Macintosh と違い、 複数の人間で機械を共用することを前提に設計。 システム管理者 =スーパー・ユーザー(root) 一般利用者 =ユーザー
利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード UNIX (Linux) は、Windows や Macintosh と違い、 複数の人間で機械を共用することを前提に設計。 悪意ある者による 悪用を防ぐ必要性
利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード 悪意ある者による 悪用を防ぐ必要性 パスワードによる 利用者の認証
利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード 悪意ある者による 悪用を防ぐ必要性 複数の人間で機械を共用するので、利用者全員に適切なパスワードの設定が義務付けられる。 パスワードによる 利用者の認証
利用者が守るセキュリティー (パスワードについて) ■用語概説 アカウント: UNIX のように複数の人が同時に一つの計算機を利用できるようなシステムでは、システムを利用するにあたり、あらかじめ管理者によるユーザー登録手続きを受ける必要がある。それにより管理者から与えられるシステムを利用する権限を(ユーザー)アカウントと呼ぶ。 ログイン (login)・ログアウト (logout): 各ユーザーがシステムを利用するにあたり、ログインと呼ばれる利用開始手続きを行う必要がある。また、利用終了時にはログアウトと呼ばれる利用終了手続きを行わねばならない。ログイン時には認証のために、各ユーザーは各人のログイン名とパスワード要求される。 利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード 悪意ある者による 悪用を防ぐ必要性 複数の人間で機械を共用するので、利用者全員に適切なパスワードの設定が義務付けられる。 パスワードによる 利用者の認証
利用者が守るセキュリティー (パスワードについて) 実際にパスワードが盗まれると どのような被害に遭うのか?
利用者が守るセキュリティー (パスワードについて) ■パスワード漏洩時に想定される被害 [本人が困る] ・個人情報の流出、悪用、破壊。 SPAM を大量に送られる。 せっかく書いた論文が消される。 [周りの人にも迷惑がかかる] ・システムを破壊される。 ・コンピュータを乗っ取り、それを足がかりに 他のコンピュータを攻撃する。
利用者が守るセキュリティー (パスワードについて) ■攻撃者(クラッカー)の代表的な手口 (1) パスワードを推測し、当たるまで試し続ける。 (2) 標的のコンピュータで動いているプログラムの欠陥 (バグ)を利用してコンピュータに侵入する。 (3) 標的のコンピュータで提供されているサービス (Mail, WWW, etc) を妨害する。
利用者が守るセキュリティー (パスワードについて) ■攻撃者(クラッカー)の代表的な手口 (1) パスワードを推測し、当たるまで試し続ける。 (2) 標的のコンピュータで動いているプログラムの欠陥 (バグ)を利用してコンピュータに侵入する。 (3) 標的のコンピュータで提供されているサービス (Mail, WWW, etc) を妨害する。 ほとんどの手口において、パスワードを知っていることが非常に攻撃に有利。 逆にパスワードが分からないと困難(途中で挫折)。
利用者が守るセキュリティー (パスワードについて) パスワードは「最後の砦」
利用者が守るセキュリティー (パスワードについて) ■パスワードのルール ・大文字、小文字、数字、記号を少なくとも 6文字以上並べる ・8文字を越えて並べた場合、先頭8文字が 有効。
利用者が守るセキュリティー (パスワードについて) ■パスワードのルール 他人に類推されることの無い(複雑で)、しかしメモはしなくても自分は忘れないパスワードをつけることが重要 悪例) ログイン名と同じもの、自分の名前や家族などの名前、電話番号、車種、住所、全部が同じ文字や数字で構成されているもの、辞書等に出ている単語、及び、上記の繰り返しやちょっとだけ細工したもの
利用者が守るセキュリティー (パスワードについて) ■パスワードマナー ○ 人が打鍵しているところは見ない ○ アカウントの貸し借りはしない ○ パスワード他人に教えない (システム管理者にも) ○ パスワードは紙などに書かずに頭の中にだけしまっておく ○ 別のマシンでは別のパスワードを使う ○ パスワードは頻繁に変更する ○ 初期パスワードは最初のログイン時に変更する
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 ・UNIX (Linux) では、データは「ファイル」という形で 記録・管理する ・ファイルを整理するために「ディレクトリ」が存在する。フォルダ とも呼ばれるが同じもの。ディレクトリ自身もファイルの一種で、 中に入っているファイル名の一覧が格納されている。 ・ファイルの内容に応じて、適宜ディレクトリに分別整理されている。 ・パスワード等の、利用者に関する情報もファイルとして保存されて いる。 → /etc ディレクトリ内の passwd, shadow, group ファイル
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ passwd: ユーザーの基本情報が記録されているファイル。 ユーザーなら誰でも閲覧可能。 □ shadow: 暗号化されたパスワードが記録されているファイル。 一般ユーザーは内容を見ることはできない。 □ group: グループに関する情報が記述されたファイル。 UNIX (Linux) では柔軟な管理の目的で、グループという概念がある。 どのユーザーも必ずいずれかのグループに属している。
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 adam:kHTsizRZqOpqE:10907:0:99999:7:::0 addison:iJMp94cZHbJ26:10910:0:99999:7:::0 adon:zK1kwbbc6.IeM:10905:0:99999:7:::0 samson:fM77gWFKHu4DU:10889:0:99999:7::: bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0 david:YTpjdEsdAMFJ2:10928:0:99999:7:::0
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード パスワードは crypt という仕組みを 用いて暗号化される
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード □ crypt とは… UNIX 標準の DES 暗号化手法を使って文字列を暗号化 特徴:暗号化することはできても 基本的に複合化することはできない
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード □ crypt を使うと… OD iMl52Ebie6U 暗号化されたパスワード(実体) 暗号化に使う乱数 (salt)
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード □ crypt を使うと… iMl52Ebie6U = crypt ( HitoshiK , OD ) 暗号化する前のパスワード このように暗号化自体は、非常に容易。
利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 ※ 簡単なパスワードだと、適当に想像した文字列を何回か 試しに暗号化してみると、その結果と一致することがある。 → パスワードがバレる ※ さらにこれを自動的に調べてくれるソフトウェアが存在する! → パスワードを決めるときは熟察するべし iMl52Ebie6U = crypt ( HitoshiK , OD ) 暗号化する前のパスワード このように暗号化自体は、非常に容易。