TrickDiary このページをアンテナに追加 RSSフィード

2009-05-17

[]パスワードの定期更新の有効性に関する考察

パスワードの定期更新の有効性について疑問を抱いている自分の考えをまとめてみました。

ブルートフォースな攻撃に対する有効性

このことを簡単に説明する為にここでは数字4桁限定のパスワードで考えてみましょう。

例えば、まず初期状態として 2032 がパスワードとして設定されているとします。さらにここで攻撃者はブルートフォースな攻撃を 0000 から順番に行うとします。攻撃者が 2032 に達するまでに運良くパスワードが定期更新により変更されれば、一見難を逃れたように見えます。

しかし、よくよく考えて見てください。これは本当に難を逃れたと言えるのでしょうか? 残念ながらこれは難を逃れたとは言えません。と、言うのも、攻撃者が 0500 のあたりを試行中に 0600 あたりのパスワードへ変更したのであれば攻撃が成功するまでの時間を反って短くしただけです。また逆に 9000 あたりの攻撃者がそこへ達するまでに時間のかかるパスワードへ変更したとしても結局は攻撃者はそこへいずれたどり着きます。

幸運にも攻撃者が 1000 あたりを試行中に 0500 あたりのパスワードへ変更できたとしても、攻撃者は 9999 まで試行してダメだったら 0000 からやり直すだけなので多少の時間稼ぎにしかなりません。非常な幸運に恵まれれば攻撃者のブルートフォースな攻撃をかわし続けることができるかもしれませんが、定期的なパスワード変更のブルートフォースな攻撃に対する有効性というのは結局の所、攻撃が成功するまでの時間を期待値で概ね2倍*1にするだけの効果しかありません。

ショルダーハックに対する有効性

これについては多少は意味があるのではないかと思われますが、そもそもパスワードをタイプするところを他人に見られるべきではありません。監視カメラ等が動作している環境でパスワードをタイプするなどに至っては言語道断です。*2

パスワードが割れてしまった場合に・・・

攻撃者に対してそのパスワードが有効な期間を短くすることは可能ではあるかも知れませんが、クラックを許した時点でそれがどこまで意味のあることなのかは疑問です。しかし、退会/退職などにより無効にするべきアカウントがいつまでも有効なままになってしまっていることにより招かれる不正アクセスの軽減策や、ダメもとで可能な範囲で被害を少しでも少なくするという観点においては意味があると言えなくはないでしょう。パスワードの定期更新の有効性については恐らくこれに尽きるのではないかと思います。

定期更新よりは、ひたすら長いパスワードを推奨

*1パスワードを一文字長くするだけで攻撃が成功するまでの時間が数十倍になるというのにパスワードの定期更新ではたったの2倍です。

*2:今や監視カメラなんてそこら中にありますからカメラの死角を探すのは大変なこともあるかと思いますが。

2008-08-01

wraith132008-08-01

[][] マスターパスワードに基づく各種目的別パスワード生成ツール

http://www.trickpalace.net/tools/password.htm

スターパスワードから目的別のパスワードを生成するツールです。 このツールは乱数を用いるパスワード生成ツールとは異なり、同じ指定でパスワード生成を行えば毎回同じパスワードが生成されます。

このパスワード生成ツールを利用すると、ひとつのマスターパスワードさえ覚えておけば各種目的別パスワードを管理する手間から解放されます。 このツールは一方向性関数(SHA-256)を利用してパスワードを作成します。 このツールで作成されたパスワードを元に、マスターパスワードを復元したり、同じマスターパスワードから作成される他のパスワードを算出することはできません。

...というもの作成してみました。

アイデア的にも特に真新しいものではないでしょうし、既に個人的にこのような方法でパスワードを管理している方も居られるかと思います。ただ、このページのようにお手軽に利用できるものが見あたらなかったんで自作してみました。

追記

このツールに関しては例外的に IE だけでなく Opera 及び Safari でも動作することを確認しました。あと、ウィジェットの類への移植を考慮してたところなんだけど、... Mac(というか Safari with Dashboard)だと、このページのフォームの部分だけ切り抜いてそのままウィジェットとして仕立て上げてしまうなんて荒技がプログラマではない一般的なユーザーであっても超簡単にできるんだね。初めて良い意味で Apple スゲー!って思った。

追記2

つい先日 GIGAZINE で同様のツール SuperGenPass が紹介されてたんですね。orz

ちなみに SuperGenPass との主な差は...

...といったところです。あと、SuperGenPass のほうがドメイン等の付帯条件の入力の手間が省ける分、使い勝手がいいと思います。

追記3

パスワードに使用する文字種を記号文字だけでなく数字、英大文字、英小文字もそれぞれ個別に選択できるようにしました。

2007-07-16

[] QuickTime の目も当てられない脆弱性

先日、偶然 QuickTime のある致命的な脆弱性を見つけたんですけど、いまひとつ再現条件をつかめないでいるうちに...

Apple、QuickTime最新版で8件の深刻な脆弱性修正

...で、修正されたっぽい。自分が見つけた脆弱性はいかに Appleセキュリティに対するリテラシーが低いかを物語るようなもので、そのあまりの酷さに閉口するようなものでした。かなり致命的な問題なんで詳細を公開することは避けますが、ただのテキストファイルを動画ファイルとして読み込ませただけで OS 毎クラッシュするような事態を招く酷いものでした。実際、ちゃんとした検証を行ったわけではないので、今回の修正により私のところで再現可能な環境では再現しなくなっただけで問題そのものはまだ残っているかもしれません。

なにげに QuickTime に依存したソフトウェアって多いわけですが、 Apple のようにセキュリティに対するリテラシーが低い企業のソフトウェアに依存するのは一考して欲しいものです。

ちなみに私は見つけた脆弱性を回避するにはブラウザに登録されている QuickTime プラグインを無効にしておけばとりあえず、リンクをクリックしただけで OS をクラッシュさせられるということはおきないようです。また、この脆弱性はただのテキストファイルによって引き起こされる問題なのであらゆるアンチウィルス製品ならびにファイアウォールでも防御不能です。てか、こんなただのテキストデータをブロックされても困るし・・・というレベルのデータでクラッシュさせられます。

2007-02-26

[][][][] HKCR配下のレジストリキーが勝手にコピーされる?

【vista対策】

http://pc10.2ch.net/test/read.cgi/tech/1162813293/312-313n

312 :デフォルトの名無しさん :2007/02/27(火) 00:32:42 
MSが仕様だと言い張るので、Vistaのすばらしい機能を紹介します。 
レジストリのHKEY_CURRENT_USERのキーを同一PC上のユーザにコピーする「機能」です。 

(条件) 
・実行ファイル名に"UPDATA"や"SETUP"などの文字を含む 例)MyUpdate.exe つまり、UACにひっかかるexeであること。 
・そのexeにmanifestをつけないこと。あってもいいけど、実行権限を指定しなければok。 

(方法) 
・そのexeの中で、HKCUのキーを書き込むだけでそのキーが全ユーザにコピーされます。 
・MFCアプリなら、CWinApp::GetProfileStringなどで、参照するだけでOK!ナイスすぎ。 
 しかも、書き込んだキーだけじゃなく、SetRegistryKeyで設定したグループ以下を 
 全部丸ごとコピーしてくれるから、とっても簡単! 
 通常は、会社名を設定するから、あなたの会社のソフトをまとめて面倒みてくれます。 
 microsoftをSetRegistryKeyにしたら・・・うは〜 
・書き込むって言ったけど、RegCreateKeyExをやっても、そのキーが丸ごとコピーされマス! 

(ただし) 
・すでにキーが設定されていれば、上書きはされません。 
 キーが空だった場合のみ,ほかのユーザのHKCUのキーが新規で追加されます。 
 でも、普通デフォルト設定はキーを空にするよね。 
・コピーする内容がパスだった場合、ご親切にもパスのユーザー名の部分だけ置き換えてくれます。 
 たとえば、c:\User\papa\秘密.txt という文字列を書き込んだ場合は、ママのレジストリには 
 c:\User\mama\秘密.txt と置き換えてコピーしてくれるんです!開発者のことよく考えてくれるね〜  

このすごい機能は、RedirectHKCUKeysと言うらしいです。 
これで、パパのクレジット番号だろうが、パスワードだろうが、ママがいちいち入力しなくても 
親切にコピーしてくれるから、すごく便利だね! 
一度おためしあれ。 


313 :312:2007/02/27(火) 00:43:18 
あ、ちょっと間違えました。 

実行ファイル名に"UPDATA"や・・・ 
↓ 
実行ファイル名に"UPDATE"や・・・ 

動作確認はしてないけど、これちょっと酷いってか、ヤバイね。確かにインストーラを作る立場で見ればありがたい挙動ではあるんだけどねぇ。