利用者によるセキュリティ (パスワードについて) 齊藤 大晶 情報実験第 2 回 2009/04/24 (初版作成:河野 仁之) もくじ • • • • パスワードの必要性・重要性 パスワード漏洩による被害 悪いパスワード・良いパスワード UNIX におけるパスワード管理 普段の生活とパスワード • 銀行口座の暗証番号 • 自動証明書発行装置 (AMC) の暗証番号 • オンラインゲームなどのログインパスワード • などなど・・ 本当に使っていい 人間なのか? UNIX 利用におけるパスワード • UNIX は複数の人間で機械を共有ることを 前提に設計 – システム管理者 (スーパーユーザ, root) と一 般利用者 (ユーザ) – root がユーザに利用権限(アカウント)を配布 – アカウントを持たない人による不正利用を防ぐ ことが必要 不正利用の防御策 • 利用開始手続き(ログイン)時の認証 – ユーザ名 + パスワード – UNIX 利用時における唯一の認証 利用者全員に適切なパスワードの 設定が義務づけられる パスワードが盗まれると どのような被害に遭うのか? パスワード漏洩時の被害 • 本人が困る – 本人情報やデータの流出、悪用、破壊 – 例えば明日朝 9 時締切のレポートが消える • 周囲の人が困る – 個人情報の流出, 共用システムやその中の 資源が破壊 – 例えば inex の website が消える • 世界の人が困る – 乗っ取られたコンピュータを足がかりに他のコ ンピュータが攻撃される 具体的な攻撃の手順 1. パスワードクラックにより, A さんの 2. 3. パスワードを入手 A さんに成り済ましてログイン 攻撃開始 ! – – スパムの配信やデータの消去 Aさんの本人情報や打鍵情報の取得 (パスワード, クレジットカード情報) さらなる攻撃の例 • パスワードクラックにより root アカウント を入手 – PC 内の全ユーザの情報を見放題 • 乗っ取った PC を経由して、他の PC へ パスワードクラック (踏み台) – 出来るだけ多くの数の PC を乗っ取り, 次 の(よりよい)獲物へ クラックされた PC の行く末 • 一度クラックされた PC のホスト情報は裏で 出回る – セキュリティーの甘いホストであると認識され, どんどん攻撃を受ける – 数ヶ月ごとにパスワードを盗まれる ! • 最終的にはホスト名の廃止へ – そういえば情報実験機には joho21 というPC がありませんね… パスワードは 最後の砦 パスワードの有効性 • どんなパスワードでも 「砦」になるとは限らない – 極論: 空パスワードは全く無意味 • 自分だけの「良い」パスワードをつける 事が重要 最低限パスワード • 大文字、小文字、数字、記号を少なくと も 8 文字以上 並べる • 制限文字数を超えて並べた場合、先頭 が有効とされる パスワードクラックの手口 1 • 全件探索: Brute Force Attack – パスワードとして可能なすべての組み合わせを試す • 長いパスワードならばクラックは困難 – 400 万アタック/秒 (Core2 Duo T8300 (2.4GHz) マシン 1 台相当)では … • 5 文字 : 約 23 分 30 秒 • 6 文字 : 約 35 時間 • 7 文字 : 約 129 日 • 8 文字 : 約 31 年 • 9 文字 : 約 2809 年 *パスワードに使う文字を アルファベットの大文字・小文字, 数字, ~@#$%^&*()_+-=[]{},.\“/?:;` の全 89 文字とした場合 パスワードクラックの手口 2 • 辞書探索: Dictionary Attack – 様々なデータから単語を抽出し, クラッキング用辞典を作成 – 登録単語総数は 100 万語とも… • オンライン英和辞典で 8 万語 • 専門用語や趣味の単語まで網羅 – Brute Force Attack よりも早くクラックされてし まう可能性大! こんなパスワードはダメ !!! 1 • 例) 名前 倉本圭, ログイン名 keikei, • 北海道旭川市在住, tel 012-333-4567 ログイン名, 名前, それに類するもの – Kuramoto, Kiyoshi, keikei, kurakiyo kiyokei! • 「sを$」「oを0」「Iをi」など単純な規則「だけ」で変えた もの – Kuram0t0, k1yo$hi • 個人情報から推測できるもの – 012333-4, Asa-Hokk こんなパスワードはダメ !!! 2 • 人名、辞書に載っている単語(英和問わ ず)、コマンド、固有名詞 – kuramoto, flower, aozora, adduser, salomon, japan • 上記の繰り返し, 逆綴り – Flowerflower, rewolf • マニアックな単語もダメ – MagnetCoationg • 全部同じ数字や同じ文字 – 11111111, aaaaaaaa パスワードマナー • • • • • • • • 人が打鍵しているところは見ない (視線をそらす) アカウント (パスワード) の貸し借りはしない パスワードは他人に教えない (管理者にも) パスワードは出来るだけメモせず、記憶する メモする場合絶対 捨てない ・ 見せない ・ なくさない 別のマシンでは別のパスワードを使う パスワードは頻繁に変更する 初期パスワードは最初のログイン時に変更 最新パスワード動向 • シングル・サインオン普及か? – ユーザが一度認証を受けるだけで、許可 されている機能をすべて利用可能 • 1 つのパスワードで複数の PC へログイン可 能 – 1990 年代に既に商品化されていた – 現在、大学等で使われている UNIX における パスワード管理 UNIX におけるパスワード管理 • UNIX (Linux) ではデータは「ファイル」という形で記録, 管 理 • ファイルを整理するために「ディレクトリ(フォルダ)」が存在 – – – – ディレクトリ自身もファイルの一種 中に格納されているファイル名一覧が明記 パスワード等の利用者に関する情報もファイルとして保存 /etc ディレクトリの passwd, shadow, group Passwd, shadow, group ファイル • Passwd – ユーザの基本情報を記録. ユーザは閲覧可 • Shadow – 暗号化されたパスワード情報を記録. ユーザは閲 覧不可 • Group – グループの基本情報が記録 – UNIX には柔軟な管理の目的でグループという概 念がある. どのユーザも必ずいずれかのグルー プに属している. Shadow ファイルと暗号化 1 • Shadow ファイルの中身 addie:ODiMl52Ebie6U:10886:0:99999:7:::0 adam:kHTsizRZqOpqE:10907:0:99999:7:::0 addison:iJMp94cZHbJ26:10910:0:99999:7:::0 adon:zK1kwbbc6.IeM:10905:0:99999:7:::0 samson:fM77gWFKHu4DU:10889:0:99999:7::: bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0 david:YTpjdEsdAMFJ2:10928:0:99999:7:::0 Shadow ファイルと暗号化 2 addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化されたパスワード • パスワードは暗号化されて格納 – 暗号化には MD5 が利用される • 古くは crypt が利用されていた. • 今回は crypt を例に詳細を解説 パスワードの暗号 addie:ODiMl52Ebie6U:10886:0:99999:7:::0 暗号化に使う 暗号化された 乱数(Salt) パスワードの実体 • Crypt をつかうと… – iMl52Ebie6U = crypt (Passwd, OD ) • このように暗号化の手順は非常に簡単 • ログイン時は入力したパスワードを暗号化し, そ れが /etc/shadow の内容と一致するかを判断 まとめ • アカウント – コンピュータを利用する権限 • パスワード – アカウントの利用者認証 – 「良い」パスワードじゃないと無意味 実習編では情報実験機にアカウントを作成します。 あなただけの「よい」アカウント名とパスワードを考えてく ださい ! 参考文献 ・ 強力なパスワード: その作り方と使い方 Microsoft https://www.microsoft.com/japan/protect/yourself/password/create.mspx ・TARUMA‘s Lecture 2006 情報ネットワーク論Ⅰ[大商大、前期] http://tnet2001.daishodai.ac.jp/moodle/ ・WIDE インターネット概論 第08回(2004/11/26) 「パーソナル・セキュリティ」 http://www.soi.wide.ad.jp/class/20040025/materials_for_student/08/gairon-2004f08-RELEASE.pdf ・IT用語辞典 e-Words – セキュリティ – http://e-words.jp/p/c-security.html ・パスワードを作成する方法 http://www.yone.ac.jp/shokuin/miyake/passwd.html ・セキュリティ総合ソリューションサイト – これが不正進入の手口だ! http://premium.nikkeibp.co.jp/security/special/index01_05_03.shtml ・良いパスワードとは http://www.7key.jp/security/pw.html ・@IT --パスワードが安全か調べるには(John the Ripper編) http://www.atmarkit.co.jp/flinux/rensai/linuxtips/244johnripper.html ・パスワード自動生成ホームページ) http://www.maido.co.jp/network/passmake2.html
© Copyright 2024 ExpyDoc