パスワードとは?/ スタッフィ
[ 546] パスワード - Wikipedia
[引用サイト] http://ja.wikipedia.org/wiki/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89
|
この項目ではセキュリティのためのパスワードについて記述しています。コンピュータゲームにおけるパスワードについてはパスワード (コンピュータゲーム)を、講談社青い鳥文庫から出ているパスワードシリーズについてはパソコン通信探偵団事件ノートをご覧ください。 パスワード(Password)とは、一般的に合い言葉を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す。多くの場合、その利用者が本人であることを確認するもので、その利用者のみが知る文字列を用いる。 通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。 文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。 多くのシステムでは、パスワードに用いることのできる文字はアルファベット(ラテン文字)26文字か52文字(大文字・小文字が区別される場合)、アラビア数字10文字、「+-/!"#|_」などの記号に限定されているが、マルチバイト文字を用いることができるものもある。 パスワードやクレジットカードの番号を入手することで、他人になりすましてさまざまな利益が得られることから、パスワードを発見するということがしばしば行われてきた。理論上は総当りですべての文字列を試してみればいつかは正しいパスワードを発見可能なことは容易にわかるが、大変な労力が必要なので実際はあまり行われない。 また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある。(金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう ドアの電子錠では回路がクラッキングと判断して自己破壊するものもある) パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。(辞書攻撃の項を参照されたし) 銀行のキャッシュカードやクレジットカードに設定されている暗証番号については生年月日、自動車のナンバー・電話番号や「1111」「1234」のような覚えやすい番号(いわゆるキリ番)が設定されている場合が多いが、近年発生しているクレジットカードやキャッシュカード窃盗やスキミング等の事件に於いては、日本ではじつに57%の例で生年月日を入力されて現金を引き出されている[1]。このような事例では、これらの犯罪被害者に行われていた被害補償に於いて、預金者自身にも過失があるものとみなし、全く補償されないか、補償が半分以上も減ぜられることもある[2]。 キャッシュカードや携帯電話端末の暗証番号はわずか4桁だけしかない場合が多く、0000〜9999の、せいぜい10000回試せば暗証番号を発見できることから、番号を忘れてしまった場合に全部の番号を試すソフトウェアが存在する(総当たり攻撃の項を参照されたし)。 誰でも思いつくような覚えやすい文字列の文字列でパスワードを設定することは避けるようにすべきだというのが、セキュリティ専門筋の共通見解であるが、パスワードをランダムな文字列の羅列にし、かつ文字数を多くするあまり、中には自分自身でも覚えられないパスワードを設定する人も見られ、本末転倒な事態に陥るケースも見られる。他方では、その余りにも覚え難いパスワードをメモに記録して携帯または保管する向きもあるが[3]、ソーシャル・エンジニアリングによってパスワードを盗まれる事態も発生しているだけに、注意が必要である。 定期的にパスワードを変更する事で、たとえ盗難にあってもすぐに無効化できるため、任意のパスワードを設定できる所では、定期的なパスワード変更が推奨されている。近年では現金自動預け払い機においても、その場の機械操作だけで暗証番号が変更できるものが見られる。ただし、この場合変更前のパスワードを覚えていないと変更することができない。 |
[ 547] パスワード・クラック:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/COLUMN/20061128/255161/
|
●レインボー攻撃とは,ハッシュ化されたパスワードを解析する手法のこと。あらかじめ計算済みのハッシュ値のテーブル(レインボー・テーブル)を基にパスワードを解析する パスワード・クラックとは,パスワードを見破ることを指します。パスワードを設定する時や管理する際の注意点に関しては,この連載の中でも既に扱いました((利用者編),(管理者編))。今回は,攻撃者の視点,すなわち情報収集の手法の一つとしてパスワードを解析する手口や用語を勉強します。 はじめに,オンライン攻撃とオフライン攻撃という用語を確認しておきましょう。オンライン攻撃とは,実際に動作しているサーバーにIDとパスワードを送って認証に成功するかどうかを調べる手法です。また,サーバー以外でも動作中のサービスに認証情報を送って調査する手法は,オンライン攻撃にあたります。 これに対してオフライン攻撃は,パスワード・ファイル,あるいはパスワードがかけられているファイルを入手して,攻撃者のコンピュータにそのファイルを移してパスワード破りを試みる手法のことです。 「パスワード破り」で誰もが思いつくのが,使われる文字の組み合わせを片っ端から順番に試してみるやり方です。この方法はブルートフォース・アタック(総当り攻撃)と呼ばれます。ただし,ブルートフォース・アタックは,パスワードの文字列が長かったり,文字種が多かったりすると,総当たりするのに時間がかかってしまいます。そこで,ユーザーがパスワードとして登録しがちな文字列をあらかじめ辞書ファイルに登録しておき,それを順次試していくやり方があります。こちらは辞書攻撃と呼ばれます。 ファイルをZIP形式に圧縮する際にパスワードをかけることができます。このときに設定したパスワードを忘れてしまった時に解読を試みるPika Zipというフリーソフトがあります※1。このツールは図1のように解読のための方法を細かく指定できるようになっています。これを筆者のパソコン上で動かして擬似的にパスワード破り(ブルートフォース・アタック:総当り攻撃)を試してみました。 このPC上でツールを動作させた場合,1秒間に160万〜180万通りの攻撃を試みることができました。これに桁数と文字種の数を勘案して解読に要する時間を見積ると次のようになります。 どちらも予想よりも大幅に短い時間で解析が終了しています。これは,数字のみの場合は0から9,英小文字・数字の場合はaからz,0から9という順番でアタックしていったため,最後の方まで試さなくても正しいパスワードが見つかったからです。 ここで一つ確認しておきたい点があります。それは,「ブルートフォース・アタックで解読を試みる場合,パスワードがどんな文字種を利用しているかがわかると,解読が容易になる(=検索数が減る)」という点です。 もちろん,わざわざツールを使って演算しなくても,机上の計算(見積もり)でわかり切っていることですが,攻撃者の立場になって考えてみると実感できるでしょう。具体的には,今回のケース(1)が10数秒で解読できたのは,「パスワードが数字だけで構成されている」ということを知っていて,効率のよい検索方法,つまり数字のみの10種類の文字で攻撃できたからです。「英小文字も交じっているかもしれない」と考えたら,攻撃者は数字+英小文字の36種類の文字を使って攻撃しなければならないため,全く同じ数字のみのパスワードでも(同じツール・同じ解読アルゴリズムを利用した場合)解読までに10数時間かかることになります。 「“安全”なプログラム判別に世界180カ国のセンサー・ネットを活用」,米シマンテックの分析担当ディレクタ 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
スタッフィのサイトです。
