第2回 いつも基本はパスワード管理:ITpro

IT セキュリティ

徳丸さんの記事第2弾、はやっ!もう第2弾ですか!

今度はパスワード攻撃に関するあれこれのお話。

パスワードを知る手段としては,(1)ネットワーク盗聴,(2)総当たり的な試行,(3)ソーシャル・エンジニアリング的な手法などがあるが,インターネットからの攻撃の多くは(2)の総当たり的な試行によるものと考えられる。ネットワーク盗聴やソーシャル・エンジニアリングは,ある程度ターゲットを絞った攻撃に利用される。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

2日間で26個では効率が良いのではないかなぁ?オフラインならねw

それでは,実際のパスワード攻撃の手口を見ていくことにしよう。「総当たり攻撃」と呼ばれる手法でも,すべての文字の組み合わせを機械的に試す方法では効率が悪い。先に紹介したネット証券の事例でも,手製のプログラムを2日間実行した結果,26人分のパスワードが得られたと報道されている。機械的な試行ではここまでの効率化は難しい。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

パスワード辞書攻撃とかはアカウントロックが有効ですねぇ。

パスワードの総当たり攻撃に対しては,アカウント・ロックという手法が有力な対抗策となる。アカウント・ロックとは,一定回数以上認証に失敗した場合に,そのアカウントを一時的に使用停止する方法を指す。日常生活で言うと,銀行のキャッシュカードで3回以上続けて暗証番号を間違えると一時的にそのカードは使用できなくなる。これもアカウント・ロックの身近な例である。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

Joeアカウントw。ユーザとパスワードが一緒のユーザ

よくないパスワードの代表例としてユーザーIDそのものをパスワードとして使用する場合がある。俗にJoeアカウント(Joe account)と呼ばれる。そんな馬鹿なものを使用するユーザーは稀だろうと思うかもしれないが,わざわざJoeアカウントという名前がついているくらいで,現実にはユーザーIDそのものをパスワードとして利用しているケースは多い。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

この場合,一つのアカウントに対する認証エラーは高々一回のみであるので,単純なアカウント・ロックではこの攻撃に対する防御にはならない。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

これはよく言われている攻撃。パスワード固定でユーザを変える攻撃です。

アカウント・ロックに対する回避策として,逆総当たり攻撃(Reverse Brute Force Attack)という手法がある。一般的な総当たり攻撃は,ユーザーIDを固定した上でパスワードを次々に取り替えるものだが,逆総当たり攻撃は,パスワードの方を固定して,ユーザーIDを順に試すものだ。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

管理でFTPを使うのか不明だが、FTPはThe Internetに公開する必要はないよねぇ

FTPサーバーは一般ユーザーに公開するものではなく,特定の管理者が使用するものである。必ずしもインターネットにFTPを公開する必要はないはずだ。ところが現実には,Webサイトの管理用にFTPサーバーがインターネットに公開されている例が多い。これはサイトの管理者やWebページのデザイン会社がWebサーバーとは別の場所にいるため,インターネット越しにFTPサーバーにアクセスしているからである。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

The Internetに接続しているサーバなら公開鍵認証とかは必須だと思いますよ。

SCPやSFTPってのがメインだと思ってたw

パスワード以外の認証方式を採用する

 サーバー管理にSSHを利用している場合,パスワード認証ではなく,公開鍵認証を使うようにすると安全性が高まる。SSHは仮想端末としての利用のほかに,ファイル転送の機能(SCP,SFTP)も用意されているので,TelnetFTPの利用をやめ,SSH系の公開鍵認証に統一するべきだろう。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

パスワードってのが、結局色々残ります、ミドルウエアのパスワードやrootのパスワードとか。

その場合はパスワードの質を高めるしかないですよね。
Revokeができるなら、あえて、ワンタイムパスワード(使い捨てパスワード)にしてしまうのも手ですね。(ミドルウエアのパスワードとか)

公開鍵認証など安全な認証方式が使用できない場合には,パスワードの質を高める。破られにくいパスワードのガイドラインは色々言われているが,(1)10文字以上程度の長さ,(2)単独の単語を避ける,(3)英字以外に数字や記号を混ぜる,という方法がよいだろう。

第2回 いつも基本はパスワード管理 | 日経 xTECH(クロステック)

ikepyonさんのコメントとして、覚えられないパスワード対策ですが、確かに覚えられないw

紙に書くときシーザー暗号しちゃえ大作戦ですねw

難しいパスワードとなると脳の記憶容量の問題で覚えられないというのがあると思う。で、簡単なパスワードにしてしまうというのはありがち。

すべてにおいて難しいのが無理!と言うのであれば、リスクとの兼ね合いでリスクが高くないものはあえて特定のパターンのパスワードと言うのもありとは思う(推奨はしないけど)。パスワードが覚えられないと言うのであれば、パスワードをメモしておいて、メモを厳重に管理すると言うのも悪くはない方法(パスワードを付箋紙に書いておいてディスプレイに貼り付けると言うのはダメだよ)だとも思う。パスワードをメモしておく際に、特定のルールで記述すると言うのがよりベター。

あついあついあつい〜 - ikepyonのお気楽な日々〜技術ネタ風味〜

screenshot