利用者が守るセキュリ ティー (パスワードについて) 物理実験1 情報実験第二回 2004/10/08 更新:2004/10/08 K.Michimasa 作成:2000/10/13 H.Kono 利用者が守るセキュリティー (パスワードについて) ■普段の生活とパスワード ・銀行口座の暗証番号 ・自動発行装置(ACM)の暗証番号 権利行使することを 認められた人間か? 利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード UNIX (Linux) は、Windows や Macintosh と違い、 複数の人間で機械を共用することを前提に設計。 利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード UNIX (Linux) は、Windows や Macintosh と違い、 複数の人間で機械を共用することを前提に設計。 システム管理者 =スーパー・ユーザー(root) 一般利用者 =ユーザー 利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード UNIX (Linux) は、Windows や Macintosh と違い、 複数の人間で機械を共用することを前提に設計。 悪意ある者による 悪用を防ぐ必要性 利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード 悪意ある者による 悪用を防ぐ必要性 パスワードによる 利用者の認証 利用者が守るセキュリティー (パスワードについて) ■コンピュータ利用におけるパスワード 悪意ある者による 悪用を防ぐ必要性 複数の人間で機械を共用 するので、利用者全員に 適切なパスワードの設定 パスワードによる 利用者の認証 が義務付けられる。 ■用語概説 利用者が守るセキュリティー アカウント: UNIX のように複数の人が同時に一つの計算機を利用で きるようなシステムでは、システムを利用するにあたり、 ■コンピュータ利用におけるパスワード あらかじめ管理者によるユーザー登録手続きを受ける必 要がある。それにより管理者から与えられるシステムを 悪意ある者による 利用する権限を(ユーザー)アカウントと呼ぶ。 (パスワードについて) 悪用を防ぐ必要性 複数の人間で機械を共用 ログイン (login)・ログアウト (logout): するので、利用者全員に 各ユーザーがシステムを利用するにあたり、ログインと 適切なパスワードの設定 呼ばれる利用開始手続きを行う必要がある。また、利用 パスワードによる 終了時にはログアウトと呼ばれる利用終了手続きを行わ が義務付けられる。 ねばならない。ログイン時には認証のために、各ユー 利用者の認証 ザーは各人のログイン名とパスワード要求される。 利用者が守るセキュリティー (パスワードについて) 実際にパスワードが盗まれると どのような被害に遭うのか? 利用者が守るセキュリティー (パスワードについて) ■パスワード漏洩時に想定される被害 [本人が困る] ・個人情報の流出、悪用、破壊。 SPAM を大量に送られる。 せっかく書いた論文が消される。 [周りの人にも迷惑がかかる] ・システムを破壊される。 ・コンピュータを乗っ取り、それを足がかりに 他のコンピュータを攻撃する。 利用者が守るセキュリティー (パスワードについて) ■攻撃者(クラッカー)の代表的な手口 (1) パスワードを推測し、当たるまで試し続ける。 (2) 標的のコンピュータで動いているプログラムの欠陥 (バグ)を利用してコンピュータに侵入する。 (3) 標的のコンピュータで提供されているサービス (Mail, WWW, etc) を妨害する。 利用者が守るセキュリティー (パスワードについて) ■攻撃者(クラッカー)の代表的な手口 (1) パスワードを推測し、当たるまで試し続ける。 (2) 標的のコンピュータで動いているプログラムの欠陥 (バグ)を利用してコンピュータに侵入する。 (3) 標的のコンピュータで提供されているサービス (Mail, WWW, etc) を妨害する。 ほとんどの手口において、パスワードを知っている ことが非常に攻撃に有利。 逆にパスワードが分からないと困難(途中で挫折)。 利用者が守るセキュリティー (パスワードについて) パスワードは「最後の砦」 利用者が守るセキュリティー (パスワードについて) ■パスワードのルール ・大文字、小文字、数字、記号を少なくとも 6文字以上並べる ・8文字を越えて並べた場合、先頭8文字が 有効。 利用者が守るセキュリティー (パスワードについて) ■パスワードのルール 他人に類推されることの無い(複雑で)、しかし メモはしなくても自分は忘れないパスワード をつけることが重要 悪例) ログイン名と同じもの、自分の名前や家族などの名前、 電話番号、車種、住所、全部が同じ文字や数字で構成さ れているもの、辞書等に出ている単語、及び、上記の繰 り返しやちょっとだけ細工したもの 利用者が守るセキュリティー (パスワードについて) ■パスワードマナー ○ 人が打鍵しているところは見ない ○ アカウントの貸し借りはしない ○ パスワード他人に教えない (システム管理者にも) ○ パスワードは紙などに書かずに頭の中にだけしまっておく ○ 別のマシンでは別のパスワードを使う ○ パスワードは頻繁に変更する ○ 初期パスワードは最初のログイン時に変更する 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 ・UNIX (Linux) では、データは「ファイル」という形で 記録・管理する ・ファイルを整理するために「ディレクトリ」が存在する。フォルダ とも呼ばれるが同じもの。ディレクトリ自身もファイルの一種で、 中に入っているファイル名の一覧が格納されている。 ・ファイルの内容に応じて、適宜ディレクトリに分別整理されている。 ・パスワード等の、利用者に関する情報もファイルとして保存されて いる。 → /etc ディレクトリ内の passwd, shadow, group ファイル 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ passwd: ユーザーの基本情報が記録されているファイル。 ユーザーなら誰でも閲覧可能。 □ shadow: 暗号化されたパスワードが記録されているファイル。 一般ユーザーは内容を見ることはできない。 □ group: グループに関する情報が記述されたファイル。 UNIX (Linux) では柔軟な管理の目的で、グループという概念がある。 どのユーザーも必ずいずれかのグループに属している。 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 adam:kHTsizRZqOpqE:10907:0:99999:7:::0 addison:iJMp94cZHbJ26:10910:0:99999:7:::0 adon:zK1kwbbc6.IeM:10905:0:99999:7:::0 samson:fM77gWFKHu4DU:10889:0:99999:7::: bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0 david:YTpjdEsdAMFJ2:10928:0:99999:7:::0 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード パスワードは crypt という仕組みを 用いて暗号化される 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード □ crypt とは… UNIX 標準の DES 暗号化手法を使って文字列を暗号化 特徴:暗号化することはできても 基本的に複合化することはできない 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード □ crypt を使うと… OD iMl52Ebie6U 暗号化されたパスワード(実体) 暗号化に使う乱数 (salt) 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 □ shadow ファイルの仕組み addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード □ crypt を使うと… iMl52Ebie6U = crypt ( HitoshiK , OD ) 暗号化する前のパスワード このように暗号化自体は、非常に容易。 利用者が守るセキュリティー (パスワードについて) ■コンピュータ側から見たパスワード管理 ※ 簡単なパスワードだと、適当に想像した文字列を何回か 試しに暗号化してみると、その結果と一致することがある。 → パスワードがバレる ※ さらにこれを自動的に調べてくれるソフトウェアが存在す る! → パスワードを決めるときは熟察するべし iMl52Ebie6U = crypt ( HitoshiK , OD ) 暗号化する前のパスワード このように暗号化自体は、非常に容易。
© Copyright 2024 ExpyDoc
