利用者によるセキュリティ利用者によるセキュリティ(( パスワードについてパスワードについて ))

齊藤 大晶齊藤 大晶情報実験第 情報実験第 2 2 回回

2009/04/242009/04/24(( 初版作成初版作成 :: 河野河野 仁之仁之 ))

もくじもくじ

• パスワードの必要性・重要性パスワードの必要性・重要性• パスワード漏洩による被害パスワード漏洩による被害• 悪いパスワード・良いパスワー悪いパスワード・良いパスワー

ドド• UNIX UNIX におけるパスワード管理におけるパスワード管理

普段の生活とパスワード普段の生活とパスワード

• 銀行口座の暗証番号銀行口座の暗証番号• 自動証明書発行装置 自動証明書発行装置 (AMC) (AMC) の暗証番号の暗証番号• オンラインゲームなどのログインパスオンラインゲームなどのログインパス

ワードワード• などなど・・などなど・・

本当に使っていい人間なのか？

UNIX UNIX 利用におけるパスワード利用におけるパスワード

•UNIX UNIX はは複数の人間で機械を共有複数の人間で機械を共有ることることを前提に設計を前提に設計– システム管理者 システム管理者 (( スーパーユーザスーパーユーザ , root) , root) とと

一般利用者 一般利用者 (( ユーザユーザ ))– root root がユーザに利用権限（アカウント）をがユーザに利用権限（アカウント）を

配布配布– アカウントを持たない人によるアカウントを持たない人による不正利用を不正利用を

防ぐ防ぐことが必要ことが必要

不正利用の防御策不正利用の防御策

•利用開始手続き利用開始手続き (( ログインログイン )) 時の認証時の認証– ユーザ名 ユーザ名 + + パスワードパスワード– UNIX UNIX 利用時における唯一の認証利用時における唯一の認証

利用者全員に適切なパスワードの設定が義務づけられる

パスワードが盗まれるとパスワードが盗まれるとどのような被害に遭うのか？どのような被害に遭うのか？

パスワード漏洩時の被害パスワード漏洩時の被害

• 本人が困る本人が困る– 本人情報やデータの流出、悪用、破壊本人情報やデータの流出、悪用、破壊– 例えば明日朝 例えば明日朝 9 9 時締切のレポートが消え時締切のレポートが消え

るる• 周囲の人周囲の人が困るが困る

– 個人情報の流出個人情報の流出 , , 共用システムやその中共用システムやその中の資源が破壊の資源が破壊

– 例えば 例えば inex inex の の website website が消えるが消える• 世界の人世界の人が困るが困る

– 乗っ取られたコンピュータを足がかりに乗っ取られたコンピュータを足がかりに他のコンピュータが攻撃される他のコンピュータが攻撃される

具体的な攻撃の手順具体的な攻撃の手順

1.1. パスワードクラックによりパスワードクラックにより , A , A さんのパスワードを入手さんのパスワードを入手

2.2. A A さんに成り済ましてログインさんに成り済ましてログイン3.3. 攻撃開始 攻撃開始 !!

– スパムの配信やデータの消去スパムの配信やデータの消去– AA さんの本人情報や打鍵情報の取さんの本人情報や打鍵情報の取

得 得 (( パスワードパスワード , , クレジットカークレジットカード情報ド情報 ))

さらなる攻撃の例さらなる攻撃の例

•パスワードクラックにより パスワードクラックにより root root アアカウントを入手カウントを入手– PC PC 内の全ユーザの情報を見放題内の全ユーザの情報を見放題

•乗っ取った 乗っ取った PC PC を経由して、他の を経由して、他の PPC C へパスワードクラック へパスワードクラック (( 踏み台踏み台 ))– 出来るだけ多くの数の 出来るだけ多くの数の PC PC を乗っ取を乗っ取

りり , , 次の次の (( よりよいよりよい )) 獲物へ獲物へ

クラックされた クラックされた PC PC の行く末の行く末

•一度クラックされた 一度クラックされた PC PC のホスト情報は裏のホスト情報は裏で出回るで出回る– セキュリティーの甘いホストであると認識されセキュリティーの甘いホストであると認識され , ,

どんどん攻撃を受けるどんどん攻撃を受ける– 数ヶ月ごと数ヶ月ごとにパスワードを盗まれる にパスワードを盗まれる !!

• 最終的にはホスト名の廃止へ最終的にはホスト名の廃止へ– そういえば情報実験機には そういえば情報実験機には joho21 joho21 というという PC PC

がありませんね…がありませんね…

パスワードはパスワードは　最後の砦　最後の砦

パスワードの有効性パスワードの有効性

•どんなパスワードでも どんなパスワードでも 　　　　　　

「砦」になるとは限らない「砦」になるとは限らない

– 極論極論 : : 空パスワードは全く無意味空パスワードは全く無意味

• 自分だけの「良い」パスワードをつけ自分だけの「良い」パスワードをつける事が重要る事が重要

最低限パスワード最低限パスワード

• 大文字、小文字、数字、記号を少な大文字、小文字、数字、記号を少なくと も くと も 8 8 文字以上 文字以上 並べる並べる

•制限文字数を超えて並べた場合、先制限文字数を超えて並べた場合、先頭が有効とされる頭が有効とされる

パスワードクラックの手口 １パスワードクラックの手口 １

• 全件探索全件探索 : Brute Force Attack: Brute Force Attack– パスワードとして可能なパスワードとして可能なすべての組み合わせすべての組み合わせを試すを試す

• 長いパスワードならばクラックは困難長いパスワードならばクラックは困難– 400 400 万アタック万アタック //秒 秒 (Core2 Duo T8300 (2.4GHz) (Core2 Duo T8300 (2.4GHz) マシン マシン 1 1 台相当台相当 )) では …では …

• 5 5 文字 文字 : : 約 約 23 23 分 分 30 30 秒秒• 6 6 文字 文字 : : 約 約 35 35 時間時間• 7 7 文字 文字 : : 約 約 129 129 日日• 8 8 文字 文字 : : 約 約 31 31 年年• 9 9 文字 文字 : : 約 約 2809 2809 年年

＊パスワードに使う文字を アルファベットの大文字・小文字＊パスワードに使う文字を アルファベットの大文字・小文字 , , 数字数字 , , ~@#$%^&*()_+-=[]{},.\“/?:;` ~@#$%^&*()_+-=[]{},.\“/?:;` の全 の全 89 89 文字とした場合文字とした場合

パスワードクラックの手口 パスワードクラックの手口 22

•辞書探索辞書探索 : Dictionary Attack: Dictionary Attack–様々なデータから単語を抽出し様々なデータから単語を抽出し , , クラッキング用辞典クラッキング用辞典を作成を作成– 登録単語総数は 登録単語総数は 100 100 万語とも…万語とも…

• オンライン英和辞典で オンライン英和辞典で 8 8 万語万語• 専門用語や趣味の単語まで網羅専門用語や趣味の単語まで網羅

– Brute Force Attack Brute Force Attack よりも早くクラックさよりも早くクラックされてしまう可能性大！れてしまう可能性大！

こんなパスワードはダメ こんなパスワードはダメ !!! 1!!! 1

• 例例 ) ) 名前 倉本圭名前 倉本圭 , , ログイン名 ログイン名 keikei, keikei, 北海道旭川市在住北海道旭川市在住 , tel 012-333-4567, tel 012-333-4567

• ログイン名ログイン名 , , 名前名前 , , それに類するものそれに類するもの– Kuramoto, Kiyoshi, keikei, kurakiyo kiyokei!Kuramoto, Kiyoshi, keikei, kurakiyo kiyokei!

• 「「 ss をを $$ 」「」「 oo をを 00」「」「 II をを ii」など」など単純な規単純な規則「だけ」則「だけ」で変えたもので変えたもの– Kuram0t0, k1yo$hiKuram0t0, k1yo$hi

• 個人情報から推測できるもの個人情報から推測できるもの– 012333-4, Asa-Hokk012333-4, Asa-Hokk

こんなパスワードはダメ こんなパスワードはダメ !!! 2!!! 2

• 人名人名、辞書に載っている、辞書に載っている単語単語（英和問（英和問わず）、コマンド、わず）、コマンド、固有名詞固有名詞– kuramoto, flower, aozora, adduser, salomokuramoto, flower, aozora, adduser, salomo

n, japann, japan•上記の上記の繰り返し繰り返し , , 逆綴り逆綴り

– Flowerflower, rewolfFlowerflower, rewolf•マニアックな単語もダメマニアックな単語もダメ

– MagnetCoationgMagnetCoationg• 全部同じ数字や全部同じ数字や同じ同じ文字文字

– 11111111, aaaaaaaa11111111, aaaaaaaa

パスワードマナーパスワードマナー

• 人が打鍵しているところは見ない （視線をそら人が打鍵しているところは見ない （視線をそらす）す）

• アカウント アカウント (( パスワードパスワード ) ) の貸し借りはしないの貸し借りはしない• パスワードは他人に教えない （管理者にも）パスワードは他人に教えない （管理者にも）• パスワードは出来るだけメモせず、記憶するパスワードは出来るだけメモせず、記憶する• メモする場合絶対メモする場合絶対 捨てない ・ 見せない ・ なくさない捨てない ・ 見せない ・ なくさない• 別のマシンでは別のパスワードを使う別のマシンでは別のパスワードを使う• パスワードは頻繁に変更するパスワードは頻繁に変更する• 初期パスワードは最初のログイン時に変更初期パスワードは最初のログイン時に変更

最新パスワード動向最新パスワード動向

• シングル・サインオン普及か？シングル・サインオン普及か？– ユーザが一度認証を受けるだけで、許ユーザが一度認証を受けるだけで、許可されている機能をすべて利用可能可されている機能をすべて利用可能•1 1 つのパスワードで複数の つのパスワードで複数の PC PC へログイへログイ

ン可能ン可能– 1990 1990 年代に既に商品化されていた年代に既に商品化されていた– 現在、大学等で使われている現在、大学等で使われている

UNIX UNIX におけるにおけるパスワード管理パスワード管理

UNIX UNIX におけるパスワード管理におけるパスワード管理

• UNIX (Linux) UNIX (Linux) ではデータは「ファイル」という形で記ではデータは「ファイル」という形で記録録 , , 管理管理

• ファイルを整理するために「ディレクトリ（フォルファイルを整理するために「ディレクトリ（フォルダ）」が存在ダ）」が存在– ディレクトリ自身もファイルの一種ディレクトリ自身もファイルの一種– 中に格納されているファイル名一覧が明記中に格納されているファイル名一覧が明記– パスワード等の利用者に関する情報もファイルとして保存パスワード等の利用者に関する情報もファイルとして保存– /etc/etc ディレクトリの ディレクトリの passwd, shadow, grouppasswd, shadow, group

Passwd, shadow, group Passwd, shadow, group ファイファイルル

• PasswdPasswd– ユーザの基本情報を記録ユーザの基本情報を記録 . . ユーザは閲覧可ユーザは閲覧可

• ShadowShadow– 暗号化されたパスワード情報を記録暗号化されたパスワード情報を記録 . . ユーザユーザ

は閲覧不可は閲覧不可

•GroupGroup– グループの基本情報が記録グループの基本情報が記録– UNIX UNIX には柔軟な管理の目的でグループといには柔軟な管理の目的でグループとい

う概念があるう概念がある . . どのユーザも必ずいずれかのどのユーザも必ずいずれかのグループに属しているグループに属している . .

Shadow Shadow ファイルと暗号化 ファイルと暗号化 1 1

• Shadow Shadow ファイルの中身ファイルの中身

addie:ODiMl52Ebie6U:10886:0:99999:7:::0

adam:kHTsizRZqOpqE:10907:0:99999:7:::0

addison:iJMp94cZHbJ26:10910:0:99999:7:::0

adon:zK1kwbbc6.IeM:10905:0:99999:7:::0

samson:fM77gWFKHu4DU:10889:0:99999:7:::

bob:LOZNf7d9Xn6Rc:10910:0:99999:7:::0

david:YTpjdEsdAMFJ2:10928:0:99999:7:::0

Shadow Shadow ファイルと暗号化 ファイルと暗号化 22

• パスワードは暗号化されて格納パスワードは暗号化されて格納– 暗号化には 暗号化には MD5 MD5 が利用されるが利用される

•古くは 古くは crypt crypt が利用されていたが利用されていた . . •今回は 今回は crypt crypt を例に詳細を解説を例に詳細を解説

addie:ODiMl52Ebie6U:10886:0:99999:7:::0

暗号化されたパスワード

パスワードの暗号パスワードの暗号

• Crypt Crypt をつかうと…をつかうと…– iMl52Ebie6UiMl52Ebie6U = = crypt ( crypt (PasswdPasswd, , OD OD ))

• このように暗号化の手順は非常に簡単このように暗号化の手順は非常に簡単• ログイン時は入力したパスワードを暗号化ログイン時は入力したパスワードを暗号化

しし , , それが それが /etc/shadow /etc/shadow の内容と一致するの内容と一致するかを判断かを判断

addie:ODiMl52Ebie6U:10886:0:99999:7:::0

暗号化されたパスワードの実体

暗号化に使う乱数 (Salt)

まとめまとめ

• アカウントアカウント– コンピュータを利用する権限コンピュータを利用する権限

• パスワードパスワード– アカウントの利用者認証アカウントの利用者認証– 「良い」パスワードじゃないと無意味「良い」パスワードじゃないと無意味

実習編では情報実験機にアカウントを作成します。あなただけの「よい」アカウント名とパスワードを

考えてください !

参考文献参考文献

・ ・ 強力なパスワード： その作り方と使い方 強力なパスワード： その作り方と使い方 MicrosoftMicrosoft

https://www.microsoft.com/japan/protect/yourself/password/create.mspxhttps://www.microsoft.com/japan/protect/yourself/password/create.mspx

・・ TARUMA‘s Lecture 2006 TARUMA‘s Lecture 2006 情報ネットワーク論Ⅰ［大商大、前期］情報ネットワーク論Ⅰ［大商大、前期］

http://tnet2001.daishodai.ac.jp/moodle/http://tnet2001.daishodai.ac.jp/moodle/

・・ WIDE WIDE インターネット概論 第インターネット概論 第 0808 回回 (2004/11/26) (2004/11/26) 「パーソナル・セキュリティ」「パーソナル・セキュリティ」

http://www.soi.wide.ad.jp/class/20040025/materials_for_student/08/gairon-2004f08-RELEASE.pdfhttp://www.soi.wide.ad.jp/class/20040025/materials_for_student/08/gairon-2004f08-RELEASE.pdf

・・ ITIT用語辞典 用語辞典 e-Words – e-Words – セキュリティ – セキュリティ –

http://e-words.jp/p/c-security.htmlhttp://e-words.jp/p/c-security.html

・パスワードを作成する方法・パスワードを作成する方法

http://www.yone.ac.jp/shokuin/miyake/passwd.htmlhttp://www.yone.ac.jp/shokuin/miyake/passwd.html

・セキュリティ総合ソリューションサイト – これが不正進入の手口だ・セキュリティ総合ソリューションサイト – これが不正進入の手口だ !!

http://premium.nikkeibp.co.jp/security/special/index01_05_03.shtmlhttp://premium.nikkeibp.co.jp/security/special/index01_05_03.shtml

・良いパスワードとは・良いパスワードとは

http://www.7key.jp/security/pw.htmlhttp://www.7key.jp/security/pw.html

・＠・＠ IT --IT --パスワードが安全か調べるには（パスワードが安全か調べるには（ John the RipperJohn the Ripper編）編）

http://www.atmarkit.co.jp/flinux/rensai/linuxtips/244johnripper.htmlhttp://www.atmarkit.co.jp/flinux/rensai/linuxtips/244johnripper.html・パスワード自動生成ホームページ・パスワード自動生成ホームページ ))

http://www.maido.co.jp/network/passmake2.htmlhttp://www.maido.co.jp/network/passmake2.html