利用者が守るセキュリティー（パスワードについて）

利用者が守るセキュリティー

（パスワードについて）

物理実験 1情報実験第二回2004/10/08

更新： 2004/10/08 K.Michimasa

作成： 2000/10/13 H.Kono

利用者が守るセキュリティー（パスワードについて）

■ 普段の生活とパスワード・銀行口座の暗証番号・自動発行装置 (ACM) の暗証番号

権利行使することを認められた人間か？


■ コンピュータ利用におけるパスワード　 UNIX (Linux) は、 Windows や Macintosh と違い、

　複数の人間で機械を共用することを前提に設計。


システム管理者＝スーパー・ユーザー (root)

一般利用者＝ユーザー




悪意ある者による悪用を防ぐ必要性




■ コンピュータ利用におけるパスワード


パスワードによる利用者の認証





複数の人間で機械を共用するので、利用者全員に適切なパスワードの設定が義務付けられる。





複数の人間で機械を共用するので、利用者全員に適切なパスワードの設定が義務付けられる。

■ 用語概説アカウント：

UNIX のように複数の人が同時に一つの計算機を利用できるようなシステムでは、システムを利用するにあたり、あらかじめ管理者によるユーザー登録手続きを受ける必要がある。それにより管理者から与えられるシステムを利用する権限を ( ユーザー ) アカウントと呼ぶ。

ログイン (login) ・ログアウト (logout) ：各ユーザーがシステムを利用するにあたり、ログインと呼ばれる利用開始手続きを行う必要がある。また、利用終了時にはログアウトと呼ばれる利用終了手続きを行わねばならない。ログイン時には認証のために、各ユーザーは各人のログイン名とパスワード要求される。


実際にパスワードが盗まれるとどのような被害に遭うのか？


[ 本人が困る ]・個人情報の流出、悪用、破壊。

SPAM を大量に送られる。せっかく書いた論文が消される。

■ パスワード漏洩時に想定される被害

[ 周りの人にも迷惑がかかる ]・システムを破壊される。・コンピュータを乗っ取り、それを足がかりに　他のコンピュータを攻撃する。


(1) パスワードを推測し、当たるまで試し続ける。(2) 標的のコンピュータで動いているプログラムの欠陥　 ( バグ ) を利用してコンピュータに侵入する。(3) 標的のコンピュータで提供されているサービス　 (Mail, WWW, etc) を妨害する。

■ 攻撃者 ( クラッカー ) の代表的な手口


(1) パスワードを推測し、当たるまで試し続ける。(2) 標的のコンピュータで動いているプログラムの欠陥　　 ( バグ ) を利用してコンピュータに侵入する。(3) 標的のコンピュータで提供されているサービス　 (Mail, WWW, etc) を妨害する。

■ 攻撃者 ( クラッカー ) の代表的な手口

ほとんどの手口において、パスワードを知っていることが非常に攻撃に有利。逆にパスワードが分からないと困難 ( 途中で挫折 ) 。


パスワードは「最後の砦」


■ パスワードのルール

・大文字、小文字、数字、記号を少なくとも　６文字以上並べる

・８文字を越えて並べた場合、先頭８文字が　有効。


■ パスワードのルール他人に類推されることの無い ( 複雑で ) 、しかしメモはしなくても自分は忘れないパスワードをつけることが重要

悪例 )ログイン名と同じもの、自分の名前や家族などの名前、電話番号、車種、住所、全部が同じ文字や数字で構成されているもの、辞書等に出ている単語、及び、上記の繰り返しやちょっとだけ細工したもの


■ パスワードマナー○ 人が打鍵しているところは見ない○ アカウントの貸し借りはしない○ パスワード他人に教えない ( システム管理者にも )

○ パスワードは紙などに書かずに頭の中にだけしまっておく○ 別のマシンでは別のパスワードを使う○ パスワードは頻繁に変更する○ 初期パスワードは最初のログイン時に変更する


■ コンピュータ側から見たパスワード管理

・ UNIX (Linux) では、データは「ファイル」という形で　記録・管理する・ファイルを整理するために「ディレクトリ」が存在する。フォルダ　とも呼ばれるが同じもの。ディレクトリ自身もファイルの一種で、　中に入っているファイル名の一覧が格納されている。・ファイルの内容に応じて、適宜ディレクトリに分別整理されている。・パスワード等の、利用者に関する情報もファイルとして保存されて　いる。　　→ /etc ディレクトリ内の passwd, shadow, group ファイル


■ コンピュータ側から見たパスワード管理

□ passwd ：ユーザーの基本情報が記録されているファイル。ユーザーなら誰でも閲覧可能。

□ shadow ：暗号化されたパスワードが記録されているファイル。一般ユーザーは内容を見ることはできない。

□ group ：グループに関する情報が記述されたファイル。UNIX (Linux) では柔軟な管理の目的で、グループという概念がある。どのユーザーも必ずいずれかのグループに属している。


■ コンピュータ側から見たパスワード管理□ shadow ファイルの仕組み

addie:ODiMl52Ebie6U:10886:0:99999:7:::0

adam:kHTsizRZqOpqE:10907:0:99999:7:::0

addison:iJMp94cZHbJ26:10910:0:99999:7:::0

adon:zK1kwbbc6.IeM:10905:0:99999:7:::0

samson:fM77gWFKHu4DU:10889:0:99999:7:::

bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0

david:YTpjdEsdAMFJ2:10928:0:99999:7:::0




暗号化されたパスワード

パスワードは crypt という仕組みを用いて暗号化される





UNIX 標準の DES 暗号化手法を使って文字列を暗号化特徴：暗号化することはできても

基本的に複合化することはできない

□ crypt とは…





OD iMl52Ebie6U

□ crypt を使うと…

暗号化に使う乱数 (salt)

暗号化されたパスワード ( 実体 )





iMl52Ebie6U = crypt ( HitoshiK , OD )

□ crypt を使うと…

このように暗号化自体は、非常に容易。

暗号化する前のパスワード


■ コンピュータ側から見たパスワード管理※ 簡単なパスワードだと、適当に想像した文字列を何回か　試しに暗号化してみると、その結果と一致することがある。

→ パスワードがバレる

iMl52Ebie6U = crypt ( HitoshiK , OD )

このように暗号化自体は、非常に容易。

暗号化する前のパスワード

※ さらにこれを自動的に調べてくれるソフトウェアが存在する！→ パスワードを決めるときは熟察するべし

Documents

利用者が守るセキュリティー （パスワードについて）

利用者が守るセキュリティー（パスワードについて）