利用者によるセキュリティ (パスワードについて)

利用者によるセキュリティ
(パスワードについて)
齊藤 大晶
情報実験第 2 回
2009/04/24
(初版作成:河野 仁之)
もくじ
•
•
•
•
パスワードの必要性・重要性
パスワード漏洩による被害
悪いパスワード・良いパスワード
UNIX におけるパスワード管理
普段の生活とパスワード
• 銀行口座の暗証番号
• 自動証明書発行装置 (AMC) の暗証番号
• オンラインゲームなどのログインパスワード
• などなど・・
本当に使っていい
人間なのか?
UNIX 利用におけるパスワード
• UNIX は複数の人間で機械を共有ることを
前提に設計
– システム管理者 (スーパーユーザ, root) と一
般利用者 (ユーザ)
– root がユーザに利用権限(アカウント)を配布
– アカウントを持たない人による不正利用を防ぐ
ことが必要
不正利用の防御策
• 利用開始手続き(ログイン)時の認証
– ユーザ名 + パスワード
– UNIX 利用時における唯一の認証
利用者全員に適切なパスワードの
設定が義務づけられる
パスワードが盗まれると
どのような被害に遭うのか?
パスワード漏洩時の被害
• 本人が困る
– 本人情報やデータの流出、悪用、破壊
– 例えば明日朝 9 時締切のレポートが消える
• 周囲の人が困る
– 個人情報の流出, 共用システムやその中の
資源が破壊
– 例えば inex の website が消える
• 世界の人が困る
– 乗っ取られたコンピュータを足がかりに他のコ
ンピュータが攻撃される
具体的な攻撃の手順
1. パスワードクラックにより, A さんの
2.
3.
パスワードを入手
A さんに成り済ましてログイン
攻撃開始 !
–
–
スパムの配信やデータの消去
Aさんの本人情報や打鍵情報の取得
(パスワード, クレジットカード情報)
さらなる攻撃の例
• パスワードクラックにより root アカウント
を入手
– PC 内の全ユーザの情報を見放題
• 乗っ取った PC を経由して、他の PC へ
パスワードクラック (踏み台)
– 出来るだけ多くの数の PC を乗っ取り, 次
の(よりよい)獲物へ
クラックされた PC の行く末
• 一度クラックされた PC のホスト情報は裏で
出回る
– セキュリティーの甘いホストであると認識され,
どんどん攻撃を受ける
– 数ヶ月ごとにパスワードを盗まれる !
• 最終的にはホスト名の廃止へ
– そういえば情報実験機には joho21 というPC
がありませんね…
パスワードは
最後の砦
パスワードの有効性
• どんなパスワードでも
「砦」になるとは限らない
– 極論: 空パスワードは全く無意味
• 自分だけの「良い」パスワードをつける
事が重要
最低限パスワード
• 大文字、小文字、数字、記号を少なくと
も 8 文字以上 並べる
• 制限文字数を超えて並べた場合、先頭
が有効とされる
パスワードクラックの手口 1
• 全件探索: Brute Force Attack
– パスワードとして可能なすべての組み合わせを試す
• 長いパスワードならばクラックは困難
– 400 万アタック/秒 (Core2 Duo T8300 (2.4GHz)
マシン 1 台相当)では …
• 5 文字 : 約 23 分 30 秒
• 6 文字 : 約 35 時間
• 7 文字 : 約 129 日
• 8 文字 : 約 31 年
• 9 文字 : 約 2809 年
*パスワードに使う文字を アルファベットの大文字・小文字, 数字,
~@#$%^&*()_+-=[]{},.\“/?:;` の全 89 文字とした場合
パスワードクラックの手口 2
• 辞書探索: Dictionary Attack
– 様々なデータから単語を抽出し,
クラッキング用辞典を作成
– 登録単語総数は 100 万語とも…
• オンライン英和辞典で 8 万語
• 専門用語や趣味の単語まで網羅
– Brute Force Attack よりも早くクラックされてし
まう可能性大!
こんなパスワードはダメ !!! 1
• 例) 名前 倉本圭, ログイン名 keikei,
•
北海道旭川市在住, tel 012-333-4567
ログイン名, 名前, それに類するもの
– Kuramoto, Kiyoshi, keikei, kurakiyo kiyokei!
• 「sを$」「oを0」「Iをi」など単純な規則「だけ」で変えた
もの
– Kuram0t0, k1yo$hi
• 個人情報から推測できるもの
– 012333-4, Asa-Hokk
こんなパスワードはダメ !!! 2
• 人名、辞書に載っている単語(英和問わ
ず)、コマンド、固有名詞
– kuramoto, flower, aozora, adduser,
salomon, japan
• 上記の繰り返し, 逆綴り
– Flowerflower, rewolf
• マニアックな単語もダメ
– MagnetCoationg
• 全部同じ数字や同じ文字
– 11111111, aaaaaaaa
パスワードマナー
•
•
•
•
•
•
•
•
人が打鍵しているところは見ない (視線をそらす)
アカウント (パスワード) の貸し借りはしない
パスワードは他人に教えない (管理者にも)
パスワードは出来るだけメモせず、記憶する
メモする場合絶対
捨てない ・ 見せない ・ なくさない
別のマシンでは別のパスワードを使う
パスワードは頻繁に変更する
初期パスワードは最初のログイン時に変更
最新パスワード動向
• シングル・サインオン普及か?
– ユーザが一度認証を受けるだけで、許可
されている機能をすべて利用可能
• 1 つのパスワードで複数の PC へログイン可
能
– 1990 年代に既に商品化されていた
– 現在、大学等で使われている
UNIX における
パスワード管理
UNIX におけるパスワード管理
• UNIX (Linux) ではデータは「ファイル」という形で記録, 管
理
• ファイルを整理するために「ディレクトリ(フォルダ)」が存在
–
–
–
–
ディレクトリ自身もファイルの一種
中に格納されているファイル名一覧が明記
パスワード等の利用者に関する情報もファイルとして保存
/etc ディレクトリの passwd, shadow, group
Passwd, shadow, group ファイル
• Passwd
– ユーザの基本情報を記録. ユーザは閲覧可
• Shadow
– 暗号化されたパスワード情報を記録. ユーザは閲
覧不可
• Group
– グループの基本情報が記録
– UNIX には柔軟な管理の目的でグループという概
念がある. どのユーザも必ずいずれかのグルー
プに属している.
Shadow ファイルと暗号化 1
• Shadow ファイルの中身
addie:ODiMl52Ebie6U:10886:0:99999:7:::0
adam:kHTsizRZqOpqE:10907:0:99999:7:::0
addison:iJMp94cZHbJ26:10910:0:99999:7:::0
adon:zK1kwbbc6.IeM:10905:0:99999:7:::0
samson:fM77gWFKHu4DU:10889:0:99999:7:::
bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0
david:YTpjdEsdAMFJ2:10928:0:99999:7:::0
Shadow ファイルと暗号化 2
addie:ODiMl52Ebie6U:10886:0:99999:7:::0
暗号化されたパスワード
• パスワードは暗号化されて格納
– 暗号化には MD5 が利用される
• 古くは crypt が利用されていた.
• 今回は crypt を例に詳細を解説
パスワードの暗号
addie:ODiMl52Ebie6U:10886:0:99999:7:::0
暗号化に使う
暗号化された
乱数(Salt)
パスワードの実体
• Crypt をつかうと…
– iMl52Ebie6U = crypt (Passwd, OD )
• このように暗号化の手順は非常に簡単
• ログイン時は入力したパスワードを暗号化し, そ
れが /etc/shadow の内容と一致するかを判断
まとめ
• アカウント
– コンピュータを利用する権限
• パスワード
– アカウントの利用者認証
– 「良い」パスワードじゃないと無意味
実習編では情報実験機にアカウントを作成します。
あなただけの「よい」アカウント名とパスワードを考えてく
ださい !
参考文献
・
強力なパスワード: その作り方と使い方 Microsoft
https://www.microsoft.com/japan/protect/yourself/password/create.mspx
・TARUMA‘s Lecture 2006 情報ネットワーク論Ⅰ[大商大、前期]
http://tnet2001.daishodai.ac.jp/moodle/
・WIDE インターネット概論 第08回(2004/11/26) 「パーソナル・セキュリティ」
http://www.soi.wide.ad.jp/class/20040025/materials_for_student/08/gairon-2004f08-RELEASE.pdf
・IT用語辞典 e-Words – セキュリティ –
http://e-words.jp/p/c-security.html
・パスワードを作成する方法
http://www.yone.ac.jp/shokuin/miyake/passwd.html
・セキュリティ総合ソリューションサイト – これが不正進入の手口だ!
http://premium.nikkeibp.co.jp/security/special/index01_05_03.shtml
・良いパスワードとは
http://www.7key.jp/security/pw.html
・@IT --パスワードが安全か調べるには(John the Ripper編)
http://www.atmarkit.co.jp/flinux/rensai/linuxtips/244johnripper.html
・パスワード自動生成ホームページ)
http://www.maido.co.jp/network/passmake2.html