Q q 情報セキュリティ 第２回：２００７年４月２０日（金） q q.

Presentation on theme: "Q q 情報セキュリティ 第２回：２００７年４月２０日（金） q q."— Presentation transcript:

1 q q 情報セキュリティ 第２回：２００７年４月２０日（金） q q

2 本日学ぶこと パスワードと認証 ユーザ認証の基本構成 パスワード解析方法と対策 パスワード管理法 パスワード以外のユーザ認証

3 認証（Authentication）とは
ユーザ認証とは ユーザ名とパスワードなどの組み合わせを使って，コンピュータを利用しようとしている人にその権利があるかどうかや，その人が名乗っている本人かどうかなどを確認すること メッセージ認証とは 「メッセージが正しい送信者からのものである」という性質 情報セキュリティの三大要素のうち，完全性に関わる要素 教科書p.195

4 ユーザ認証とパスワード ユーザ認証のモデル Verifier （認証者） Prover （証明者）
①ユーザ情報を入力 ② ＯＫ／ＮＧ ユーザ情報として「個人識別情報」と「パスワード」の組を用いて，個人を識別する 入力時，パスワードは画面上に表示されない 個人識別情報は，システムが提供する パスワードは，システムが提供するものもあれば，利用者が設定するものもある どのようなパスワードを使用すれば安全か？

5 パスワード解析の前提 敵対者の目標：他人の個人識別情報（ユーザ名，口座番号など）および認証方法を既知として，そこから，認証に必要なパスワードを発見すること 認証方法 敵対者が同じ認証方法を所有する：UNIXのパスワードクラック いくらでも試せる 敵対者は認証方法を所有しない：Webサーバ，銀行ATM 失敗するとペナルティ Verifier （認証者） Cracker （敵対者） 　 ユーザ情報を入力 ② ＯＫ／ＮＧ ①Proverの

6 パスワード解析の種類 ブルート・フォース・アタック（brute-force attack，総当り法） 辞書攻撃

7 二分探索法などで 効率よく発見する ことはできない
ブルート・フォース・アタック すべてのパスワード候補をVerifierに送り，「当たり」が出るまで続ける 時間（安全性の尺度）は， １回の判定時間×探索終了までの回数 探索終了までの回数は，パスワードの候補の数に比例 パスワードになり得る値の集合を「パスワード空間」 という 期待値は，パスワード空間のサイズの半分 パスワード空間が大きいほど安全 二分探索法などで 効率よく発見する ことはできない

8 数字によるパスワード（１） 銀行の暗証番号 ４桁の数字：10000通り
もし敵対者が認証システムを所有していて，（電子工作などで装置を作って）１秒間に100回の入力ができるなら，最大でも100秒でパスワードが割り出せる 現実には，１回の入力が0.01秒とできないように対処しているので，一応安全に運用されている ８桁の数字なら？： 通り 同様の敵対者の行動で，最大106秒…およそ11.5日 誰もが覚えていられる？

9 数字によるパスワード（２） １０文字 ４文字で10000通り ８文字で 通り（1.00×108通り）

10 英数字によるパスワード ６２文字 ４文字で 通り ８文字で 通り（2.18×1014通り）

11 英数字と記号によるパスワード ９５文字 ４文字で 通り ８文字で 通り（6.63×1015通り）

12 パスワード空間のサイズ：まとめ 数字のみ＜英数字＜英数字と記号 １文字増えるとパスワード空間がうんと大きくなる 文字数 数字のみ 英数字
1.00×104 1.48×107 8.14×107 ４ 1.11×104 1.50×107 8.23×107 1.00×105 9.16×108 7.73×109 ５ 1.11×105 9.31×108 7.82×109 1.00×106 5.68×1010 7.35×1011 ６ 1.11×106 5.77×1010 7.43×1011 1.00×107 3.52×1012 6.98×1013 ７ 1.11×107 3.58×1012 7.06×1013 1.00×108 2.18×1014 6.63×1015 ８ 1.11×108 2.21×1014 6.70×1015 ちょうど 以内 数字のみ＜英数字＜英数字と記号 １文字増えるとパスワード空間がうんと大きくなる

13 （前回の補足）鍵空間 ブルート・フォース・アタックで，512ビットの鍵を特定することができるか？ 答え：できない．
（参考書p.73, p.75より） ブルート・フォース・アタックで，512ビットの鍵を特定することができるか？ 512ビットの鍵 = 鍵空間の大きさは 2512 鍵発見のための（非現実的な）環境 計算機1台で毎秒1020個の鍵を生成し検査できる 計算機は10100台 1020年以内に発見する 答え：できない． 1020×(366×24×60×60)×10100×1020 < 10148 2512 ≒10154

14 辞書攻撃 問題のあるパスワード 辞書と，選ばれる傾向をもとに，パスワードを発見する方法を「辞書攻撃」という
個人識別情報そのもの，または一部，または少し付加しただけ takehiko, take, takehiko1, takehi0 プライベートな情報 配偶者や恋人の名前，電話番号や生年月日 辞書に載っている単語 apple, web 辞書に載っている単語を組み合わせただけ appleweb, apple!web 辞書と，選ばれる傾向をもとに，パスワードを発見する方法を「辞書攻撃」という ツールが存在する ブルート・フォース・アタックと別の方法で見つかってしまう！

15 パスワードの選び方 どのようなパスワードを使用すればよいか？ 文字種や字数の制限があれば，それに従う
UNIXのパスワードでは，英数字と記号を織り交ぜて， ６文字以上８文字以内にする 自分は思い出しやすいものにする 長ければいいってもんでもない 辞書攻撃で破られるようなパスワードは使用しない パスワードをメモしない（？） あちこちの認証システムで同一のパスワードにしない（？）

16 さらなる問題 Linuxでは，パスワードはどのように管理されている？ 自分がネットワーク管理者になったら，パスワードは どのように管理する？

17 "wakayama"を推測するのは極めて困難
UNIXのパスワード（１） 登録 ユーザまたは 管理者が入力 ランダム パスワード： "wakayama" ソルト："cc" 暗号化 （crypt関数） パスワード ファイル /etc/passwd 暗号化されたパスワード： "ccwp5gV6wOumk" "wakayama"を推測するのは極めて困難

18 UNIXのパスワード（２） 認証 パスワード： "wakayama" 暗号化されたパスワード： ソルト："cc"
ユーザが入力 パスワード： "wakayama" 暗号化されたパスワード： "ccwp5gV6wOumk" ソルト："cc" 暗号化 （crypt関数） パスワード ファイル /etc/passwd "ccwp5gV6wOumk" 認証でも「暗号化」の操作を行っている．言い換えると，パスワード認証で「暗号化」という言葉が出てくるが， 元に戻す（「復号」する）操作はない． 等しい？

19 ソルト（salt）の役割 ソルトがないと… ソルトがあると… ユーザ名 パスワード 暗号化パスワード takehiko wakayama
nNAvIrX23n2 murakawa wakayama nNAvIrX23n2 ユーザ名 パスワード ソルト 暗号化パスワード takehiko wakayama cc ccwp5gV6wOumk murakawa wakayama se seL7HUUbt2qmA ソルトが異なれば，同じパスワードでも 異なる暗号化パスワードが生成される

20 UNIXのパスワード（３） 最近は /etc/passwdには暗号化したパスワードを書かない
/etc/shadowに記載し（シャドウパスワード）， rootしか読めない DESではなくMD5をもとに暗号化する パスワード長，ソルト長ともに大きくなった 認証の一元化，ネットワーク化を支援するソフトウェアやシステムも広く使われている NIS+ Kerberos LDAP (Lightweight Directory Access Protocol) PAM (Pluggable Authentication Modules)

21 管理者の立場で（１） パスワードはどう設定するか？ 現状の最善解は？ システムが生成，提供する
よいパスワード生成プログラムを選べば安全にできる ユーザは覚えられず，紙などに記録するかも ユーザに自由に決めてもらう 安全性をユーザに委ねる リマインダ（Reminder）を使用する パスワードを忘れた人が，あらかじめ登録しておいた簡単な質問（例：母親の旧姓は？）に正しく答えれば，パスワードを教える 質問次第で，パスワードなしと同じになってしまう 現状の最善解は？ 管理者が，個人識別情報と初期パスワードを提供する ユーザが認証に成功すれば，まず（今後使用する）パスワードを設定し，初期パスワードを破棄する

22 管理者の立場で（２） パスワードの心得 再発行の注意点 ユーザが変更できるようにする場合 パスワードを忘れた＝システムに入れない
パスワードを忘れる人がいない組織はない 「暗号化されたパスワード」から，「パスワード」を求めることは 不可能 再発行の注意点 すぐには再発行しない ソーシャルエンジニアリングのおそれ ユーザ教育として これまで発行したパスワードは使わない ユーザが変更できるようにする場合 現在のパスワードを１回，新しいパスワードを２回入力させる いずれも画面に出さない 新しいのが１回だと，打ち間違いを見抜けない

23 ユーザ認証再考 「タイプ（打鍵）すること」に問題はないか？ パスワードでなくてもいいのでは？ ネットワーク越しの認証は？

24 打鍵に対するパスワード取得方法 ショルダーハッキング（shoulder hacking） キーロガー（key logger）
パスワードを入力しているのを肩越しに見て，打鍵を記憶すること 対策：後ろの人に見せない キーロガー（key logger） キーボードからの入力を監視して記録するソフトウェア 対策：他人も使うコンピュータを使う際に注意する

25 パスワード以外のユーザ認証法 ユーザ認証とは？ Verifier （認証者） Prover （証明者）
ユーザの持つ情報を使用して，そのユーザであることを確認・証明すること ユーザの持つ情報とは？ 持っているもの：ＩＤカードなど 知っていること：パスワードなど 身体的特徴：バイオメトリクス Verifier （認証者） Prover （証明者） ①ユーザ情報を入力 ② ＯＫ／ＮＧ

26 バイオメトリクス（Biometrics）認証
個人に固有の情報を利用するユーザ認証方式 長期間にわたって変化しにくく，類似する特徴・特性を 持つ第三者が皆無かきわめて少ないようなものを用いる 個人に固有の情報の例 身体的特徴：指紋，虹彩，顔，手の甲の静脈，音声など 身体的な特性：筆跡，打鍵など 問題点 事前登録が必要…心理的な抵抗も 機器が高価 誤認識があり得る 安価な道具でなりすましができる可能性…グミの指

27 どちらも０にしたいが，一方を下げると，もう一方は上がってしまう（トレードオフ）
指紋入力装置の性能 どちらも０にしたいが，一方を下げると，もう一方は上がってしまう（トレードオフ） 限りなく０に（最優先） なるべく０に（優先低め）

28 ネットワークを介した認証 リモートログイン（Prover-Verifier間に距離がある）で，盗聴されることを前提としたユーザ認証方式は？
パスワードを暗号化しなければ…盗聴して，リプレイ攻撃 パスワードを暗号化すれば…暗号文を盗聴して，リプレイ攻撃 通信されるユーザ情報を毎回違うものにすればいい！ 　　　　ワンタイムパスワード ④ （Proverとして）ＯＫ Cracker ② 盗聴 ③盗聴内容を送る Verifier Prover ①ユーザ情報を入力

29 ワンタイムパスワードの例：LM認証 Server Client (Verifier) Prover ② 接続要求 ③チャレンジ
① パスワード ④レスポンス Prover ⑤ ＯＫ／ＮＧ LMハッシュ = チャレンジは毎回異なる文字列（Serverが生成する） レスポンス = e(LMハッシュ,チャレンジ) eはDES暗号化アルゴリズム

30 本日のまとめ パスワードのセキュリティ よいパスワード，よい管理方式を選ぶ ブルート・フォース・アタック以外でも破られることがある
パスワードがユーザ認証のすべてではない