Download presentation
Presentation is loading. Please wait.
1
利用者によるセキュリティ (パスワードについて)
齊藤 大晶 情報実験第 2 回 2009/04/24 (初版作成:河野 仁之)
2
もくじ パスワードの必要性・重要性 パスワード漏洩による被害 悪いパスワード・良いパスワード UNIX におけるパスワード管理
3
普段の生活とパスワード 本当に使っていい 人間なのか? 銀行口座の暗証番号 自動証明書発行装置 (AMC) の暗証番号
オンラインゲームなどのログインパスワード などなど・・ 本当に使っていい 人間なのか?
4
UNIX 利用におけるパスワード UNIX は複数の人間で機械を共有ることを前提に設計
システム管理者 (スーパーユーザ, root) と一般利用者 (ユーザ) root がユーザに利用権限(アカウント)を配布 アカウントを持たない人による不正利用を防ぐことが必要
5
利用者全員に適切なパスワードの設定が義務づけられる
不正利用の防御策 利用開始手続き(ログイン)時の認証 ユーザ名 + パスワード UNIX 利用時における唯一の認証 利用者全員に適切なパスワードの設定が義務づけられる
6
パスワードが盗まれると どのような被害に遭うのか?
7
パスワード漏洩時の被害 本人が困る 周囲の人が困る 世界の人が困る 本人情報やデータの流出、悪用、破壊
例えば明日朝 9 時締切のレポートが消える 周囲の人が困る 個人情報の流出, 共用システムやその中の資源が破壊 例えば inex の website が消える 世界の人が困る 乗っ取られたコンピュータを足がかりに他のコンピュータが攻撃される
8
具体的な攻撃の手順 パスワードクラックにより, A さんのパスワードを入手 A さんに成り済ましてログイン 攻撃開始 !
スパムの配信やデータの消去 Aさんの本人情報や打鍵情報の取得 (パスワード, クレジットカード情報)
9
さらなる攻撃の例 パスワードクラックにより root アカウントを入手
PC 内の全ユーザの情報を見放題 乗っ取った PC を経由して、他の PC へパスワードクラック (踏み台) 出来るだけ多くの数の PC を乗っ取り, 次の(よりよい)獲物へ
10
クラックされた PC の行く末 一度クラックされた PC のホスト情報は裏で出回る 最終的にはホスト名の廃止へ
セキュリティーの甘いホストであると認識され, どんどん攻撃を受ける 数ヶ月ごとにパスワードを盗まれる ! 最終的にはホスト名の廃止へ そういえば情報実験機には joho21 というPC がありませんね… このスライドがブラックすぎると思ったら消してくださいね (2007/10/12, 光田)
11
パスワードは 最後の砦
12
パスワードの有効性 どんなパスワードでも 「砦」になるとは限らない 自分だけの「良い」パスワードをつける事が重要
どんなパスワードでも 「砦」になるとは限らない 極論: 空パスワードは全く無意味 自分だけの「良い」パスワードをつける事が重要
13
最低限パスワード 大文字、小文字、数字、記号を少なくと も 8 文字以上 並べる 制限文字数を超えて並べた場合、先頭が有効とされる
14
パスワードクラックの手口 1 全件探索: Brute Force Attack 長いパスワードならばクラックは困難
パスワードとして可能なすべての組み合わせを試す 長いパスワードならばクラックは困難 400 万アタック/秒 (Core2 Duo T8300 (2.4GHz) マシン 1 台相当)では … 5 文字 : 約 23 分 30 秒 6 文字 : 約 35 時間 7 文字 : 約 129 日 8 文字 : 約 31 年 9 文字 : 約 2809 年 *パスワードに使う文字を アルファベットの大文字・小文字, 数字, の全 89 文字とした場合
15
パスワードクラックの手口 2 辞書探索: Dictionary Attack 様々なデータから単語を抽出し, クラッキング用辞典を作成
登録単語総数は 100 万語とも… オンライン英和辞典で 8 万語 専門用語や趣味の単語まで網羅 Brute Force Attack よりも早くクラックされてしまう可能性大!
16
こんなパスワードはダメ !!! 1 例) 名前 倉本圭, ログイン名 keikei, 北海道旭川市在住, tel 012-333-4567
ログイン名, 名前, それに類するもの Kuramoto, Kiyoshi, keikei, kurakiyo kiyokei! 「sを$」「oを0」「Iをi」など単純な規則「だけ」で変えたもの Kuram0t0, k1yo$hi 個人情報から推測できるもの , Asa-Hokk
17
こんなパスワードはダメ !!! 2 人名、辞書に載っている単語(英和問わず)、コマンド、固有名詞 上記の繰り返し, 逆綴り
kuramoto, flower, aozora, adduser, salomon, japan 上記の繰り返し, 逆綴り Flowerflower, rewolf マニアックな単語もダメ MagnetCoationg 全部同じ数字や同じ文字 , aaaaaaaa
18
パスワードマナー 人が打鍵しているところは見ない (視線をそらす) アカウント (パスワード) の貸し借りはしない
パスワードは他人に教えない (管理者にも) パスワードは出来るだけメモせず、記憶する メモする場合絶対 捨てない ・ 見せない ・ なくさない 別のマシンでは別のパスワードを使う パスワードは頻繁に変更する 初期パスワードは最初のログイン時に変更
19
最新パスワード動向 シングル・サインオン普及か? ユーザが一度認証を受けるだけで、許可されている機能をすべて利用可能
1 つのパスワードで複数の PC へログイン可能 1990 年代に既に商品化されていた 現在、大学等で使われている
20
UNIX における パスワード管理
21
UNIX におけるパスワード管理 UNIX (Linux) ではデータは「ファイル」という形で記録, 管理
ファイルを整理するために「ディレクトリ(フォルダ)」が存在 ディレクトリ自身もファイルの一種 中に格納されているファイル名一覧が明記 パスワード等の利用者に関する情報もファイルとして保存 /etc ディレクトリの passwd, shadow, group
22
Passwd, shadow, group ファイル
ユーザの基本情報を記録. ユーザは閲覧可 Shadow 暗号化されたパスワード情報を記録. ユーザは閲覧不可 Group グループの基本情報が記録 UNIX には柔軟な管理の目的でグループという概念がある. どのユーザも必ずいずれかのグループに属している.
23
Shadow ファイルと暗号化 1 Shadow ファイルの中身
addie:ODiMl52Ebie6U:10886:0:99999:7:::0 adam:kHTsizRZqOpqE:10907:0:99999:7:::0 addison:iJMp94cZHbJ26:10910:0:99999:7:::0 adon:zK1kwbbc6.IeM:10905:0:99999:7:::0 samson:fM77gWFKHu4DU:10889:0:99999:7::: bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0 david:YTpjdEsdAMFJ2:10928:0:99999:7:::0
24
Shadow ファイルと暗号化 2 パスワードは暗号化されて格納 暗号化されたパスワード 暗号化には MD5 が利用される
addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード パスワードは暗号化されて格納 暗号化には MD5 が利用される 古くは crypt が利用されていた. 今回は crypt を例に詳細を解説
25
パスワードの暗号 暗号化に使う 乱数(Salt) 暗号化された パスワードの実体 Crypt をつかうと…
addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化に使う 乱数(Salt) 暗号化された パスワードの実体 Crypt をつかうと… iMl52Ebie6U = crypt (Passwd, OD ) このように暗号化の手順は非常に簡単 ログイン時は入力したパスワードを暗号化し, それが /etc/shadow の内容と一致するかを判断
26
まとめ アカウント パスワード コンピュータを利用する権限 アカウントの利用者認証 「良い」パスワードじゃないと無意味
実習編では情報実験機にアカウントを作成します。 あなただけの「よい」アカウント名とパスワードを考えてください !
27
参考文献 ・ 強力なパスワード: その作り方と使い方 Microsoft ・TARUMA‘s Lecture 情報ネットワーク論Ⅰ[大商大、前期] ・WIDE インターネット概論 第08回(2004/11/26) 「パーソナル・セキュリティ」 ・IT用語辞典 e-Words – セキュリティ – ・パスワードを作成する方法 ・セキュリティ総合ソリューションサイト – これが不正進入の手口だ! ・良いパスワードとは ・@IT --パスワードが安全か調べるには(John the Ripper編) ・パスワード自動生成ホームページ)
Similar presentations
