サーバに記録されているパスワードは、二度と解読できない形になっていますが、このことが、セキュリティ上の弱点となっていた部分があります。
二度と解読できない形で記録されているという安心がゆえに、この暗号化されたファイルの管理が、比較的ゆるいものになっていました。簡単に言えば、ユーザーであれば誰でも読めたわけです。
ハッカーが、この暗号化パスワードファイルを手に入れるべく、アタックしてきたのです。そしてハッカーは、いとも簡単に暗号化パスワードファイルを手にいれることができました。
そんな馬鹿な!と思うかもしれませんが、思い出してみてください。ほんの数年前まで、「パスワードをちゃんと付けましょう。IDと同じパスワードは止めましょう」なんてことがあちらこちらで言われてました。そうです、パスワードを付けない人たちが、世の中には沢山いるのです。
当研究所の5年前の調査では、4割のユーザーが、パスワードを付けないか、IDと同じパスワード(IDがp-secなら、パスワードもp-secというもの)を使っていました。1000人いたら400人が、こんなパスワードなわけです。ですから、ハッカーは、簡単にサーバーに入り、暗号化パスワードファイルを入手できたわけです。
さて、最近はどうかといいますと、パスワードを付けなければならないということは、ほとんどの人が認識しはじめましたので、1000人中400人は居ないでしょう。でも、1000人中0人には、どう教育をしてもできないという現実もあるのです。
★この記事が参考になった人はクリックしてください>>
解読できない暗号を解読する!
そんなバカな!解読できない暗号は、解読できないだろう!
そうなんです。矛盾がありますが....
ハッカー達は、この解読できない暗号を解読することに挑戦してきたのです!
正確には、解読するのではなく、もとのパスワードを当てるというテクニックです。
そうです、いろいろなパスワードを解読できない暗号に暗号化してみて、盗み出した暗号と同じになるまで、この作業を繰り返すわけです。
これが、セキュリティ教育で、「名前や電話番号、生年月日など、推測されやすいパスワードは避けること」と言われる理由なのです。
★この記事が参考になった人はクリックしてください>>
<パスワード神話>
パスワードは、3ヶ月に1度変更しなければならない!
ズバリ!変更しなくていいです!
最近は強制的に変更させられちゃうケースもありますが...
15年以上前、1995年より以前、インターネットで使われていたUNIXのパスワードは、8文字でした。しかも記号は使えず、英数(大文字小文字区別なし)の組合わせでした。
26文字+10文字=36文字種が、8文字ですから ざっくりでパスワードは2.8兆種 くらいでしょうか。とてつもなく沢山の組み合わせで、とうてい推測できそうもありませんが、先に説明した解読できない暗号のパスワードを読まれてしまうと、話が変わるわけです。
コンピュータは、計算だけならとても速いですから、パスワードを推測するのではなく、a,aa,ab,ac......と全ての組み合わせを順番に作ってみて、これを暗号化し盗み出した暗号と一致するかをテストしていきます。これをブルートフォースアタックという言います。当時のコンピュータでも、1秒間に20万回くらい計算ができたと仮定すると、6ヶ月程度で、どんなパスワードでもバレてしまうことになります。
そして、このような計算を元に、完全にバレる前にパスワードは変えるべき!という訳のわからないパスワード神話が生まれたのです。
現在は、大文字、小文字、数字、記号など、文字種が増え、さらに長いパスワードが使えるようになったので、しっかりしたパスワードを使っていれば、パスワードの定期的な変更は必要ありません。
★この記事が参考になった人はクリックしてください>>
ハッカー達は、盗み出した暗号化パスワードから、パスワードを効率よく推測するために、いるいろな研究をしてきました。そして人が付けやすいパスワードを優先的にテストするアルゴリズムと、解析ツールを開発したのです。
その中で有名で優秀なツールがjohn the ripper というツールです。
このツールは、サーバから盗み出した暗号化パスワード(解読できない暗号)を読み込ませれば、かなり効率のいい方法で、パスワードを推測していき、パスワードを当ててしまうのです。
★この記事が参考になった人はクリックしてください>>
パスワードの強さを調べるのに管理人がたびたび使っている「認術修業」ですが、この結果は信用できるのか?という疑問があります。
管理人の見解は、このソフト意外には具体的な指標になるものがないということです。
そもそも、パスワードの強さとは何でしょうか?
<パスワード神話>
強いパスワードとは、大文字、小文字、数字、記号を混ぜた8文字以上のパスワード。
これが、よく耳にする強いパスワードです。でも実際に強いパスワードという指標があるわけではありません。誰もそんなものを定義していません。
本当に欲しいのは、ハッカーに破られない(推測されない)パスワードです。
「認術修業」は、ハッカーが使うパスワード推測ツールとして、もっとも有名な「john the ripper」というツールに搭載されているパスワード推測アルゴリズムを逆解析してあり、入力したパスワードが、そのアルゴリズムで何番目に登場するかを正確に計算し、それにPCの計算時間を掛けて、パスワードがバレルまでの推定時間を算出しているそうです。
管理人にとって、これは画期的なことでした。
10年以上前の話ですが、当時、管理人が管理していたインターネット上のサーバのrootパスワード(もっとも重要なパスワード)を設定する時のことです。
絶対にハッキングされたくないので、パスワードを作る時は、パスワード神話で言われるように記号や数字を混ぜたパスワードにしていましたが、当時のパスワードは8文字までしか付けられませんでした。
果たして、このパスワードは本当に強いのか?
常にこんな不安があり、rootのパスワードを設定する際は、新しく設定するパスワードを、実際にjohn the ripperに掛けてみて、1~2週間でバレることがないことを確認し、その上で、本番サーバーで利用していました。そいうことで、この「認術修業」は管理人にとっては、まさに目から鱗のソフトだったわけです。
そう、本題にもどって、認術修業は信用できるのか?への回答ですが、管理人は、こんな意識でいます。
- 認術修業に掛けて、すぐに解けてしまうパスワードは、本当にすぐに推測されてしまう。
- 認術修業で強いパスワードも、他の方法ですぐに推測される可能性はある。
でも、具体的な、よりどころは、これ以外にはない!ので、これで調べているわけです。
★この記事が参考になった人はクリックしてください>>
ショルダーハッキングという言葉がある。
これは、パスワードを入力するところを肩越しに盗み見するというハッキング方法だ。
そんなに簡単に両手の5本の指を駆使して入力すれば、そんなに簡単に盗み見できるわけではないが、キーボードが苦手で、一本指で入力したりすると、こりゃ簡単に盗めてしまう。
昔、管理人がまだヤンチャだったころ、会社のアドミニのパスワードをショルダーハッキングしたことがある。
その時は、あるエラーの調査を依頼に情報システムの担当者のところに行って、話をしていたら、その場でログインする場面に出くわしたわけだ。全部キーが見えたわけではなかったが、雰囲気は分かった。
b、o、と続く数文字のアルファベットの後ろに、上段の数字キーの部分を3文字ほど叩くパスワードのようだった。
ショルダーハッキングで、完全に盗み取れた訳ではなかったのだが、その担当者の机には旅客機の絵葉書が貼ってあった。これを見てピンとした。そう、ジェット機の型番だ。
あとで、サーバーにアクセスしてみると、ビンゴ!!!
別に悪さはしなかったが、パスワードオタクの管理人の喜びの瞬間であった。
ちなみに、これは不正アクセス禁止法施行前の話です。
★この記事が参考になった人はクリックしてください>>
自転車や郵便受けなどに使われている3~4桁の数字を合わせて開けるダイアルロックというものがある。もともと、さほどの強度を持っている鍵ではないので、時間をかければ開けられてしまうことはある。しかし、ひと目につくなどの抑止効果や、守るべきものの価値とのバランスなどで、その強度がそれほど問題になることもない。
このダイアルロックには、人の弱さに起因する意外な弱点がある。
ダイアルロックは、合わせるのが面倒なので、多くの人が、バラバラになるまでは回さないで、1~2個回しただけで施錠している。
もし、狙われた郵便ポストや自転車があったとしよう。
犯人は、毎日、そのダイアルの状態を記録する。3~4桁程度の数字なので、その場でメモする必要もなく、怪しまれることもなく、これを続ける。
すると、その数字の分布から、解錠できる番号が推測できるようになる。
こうして、鍵は開けられてしまう。
ダイアルロックは人の弱さを引き出してしまうので、その点を注意して利用したい。
★この記事が参考になった人はクリックしてください>>
ネットバンキングなどの金銭の操作ができるサイトにおいては、ソフトウエア・キーボードというボタンがある。こんな画面である。
ここで、「ソフトキーボードを使う」をクリックすると、
こんなソフトウエアの新しいウインドウがポップアップされる。この画面のキーボードでパスワードを入力するというものだ
なぜ、こんな機能が付いているかというと、ハッカーがパスワードを盗み時に使う基本的なテクニックに「キーロガー」とうものがあり、これへの対策ということのようだ。
<キーロガー>
- コンピュータ上で、どのキーが押されたかを記録する仕組み。ハッカーはこの仕組みをPCに仕掛けておき、PCを使った人のパスワードを盗んだり、メールの内容を盗み見したりできる。
- 一般的には、スパイソフトとして、パソコンの中で動くように設定して使われるが、PCのキーボードの接続口の部分に外から付けるハードウエアタイプもある。
キーロガーは、他人もパソコンに触ることができるネットカフェ、学校、職場などの共用パソコンに仕掛けられていることが多い。個人のパソコンにおいては、ウイルス感染で仕込まれることもある。また意外に多いのが、身内が仕掛ける監視(浮気調査や恋人によるストーカー)である。
★この記事が参考になった人はクリックしてください>>
キー・ロガーは、前回説明した通りこんなハッキング手法だ。
<キーロガー>
- コンピュータ上で、どのキーが押されたかを記録する仕組み。ハッカーはこの仕組みをPCに仕掛けておき、PCを使った人のパスワードを盗んだり、メールの内容を盗み見したりできる。
- 一般的には、スパイソフトとして、パソコンの中で動くように設定して使われるが、PCのキーボードの接続口の部分に外から付けるハードウエアタイプもある。
キーロガーは、古いハッキング手法で、Windowsのようなマウスを使うコンピュータの登場前から存在していました。昔のコンピュータは、マウスがなく操作するのはキーボードのみですから、キーボードの操作を記録すると、ほとんど完璧に情報を盗むことができたわけです。
ですから、マウスを使われるということは、キーロガーによるハッキングを仕組んでいる奴らにとって、厄介な操作なのです。
例えば、あなたのパスワードが仮に、"12345678"だったとします。
パスワードを入力するときに、まず
5678_
と入力し、マウスでカーソルを先頭に移動してから
_5678
1234
とキーを打つと、
12345678
というパスワードが完成しますが、キーロガーには、キーを打った順番で
56781234
と記録されるわけです。
これは、単純な例ですが、マウスとキーボードの組み合わせ操作は、キーロガーによるハッキングの目をくらますことができます。ソフトウエアキーボードでは、これをすべてマウス操作により入力しようというものです。また、パスワードのパーツ(一部分)を、テキストメモなどから、コピペするという方法など、ちょっとした工夫で、対策することができます。
え?そんな面倒なことしなきゃいけないのですか?
いえいえ、管理人はそんな面倒なことしてませんよ。
その理由は、また今度。
★この記事が参考になった人はクリックしてください>>
管理人は、DEFCONという毎年ラスベガスで開かれるハッカーのオフ会に行ったときに、コネクタ型のキーロガーを買ってきたことを思い出し、机の中を探してみたら、ありました!
見たところ4cmほどの単なる変換コネクタですが、この中に、キーロガー機能が組み込まれているのです。テレビ等で、電源タップ型の盗聴器が話題になっていますが、同じようにコネクタ型のキーロガーがあるのです。
パソコンに繋がっているキーボードを外して、先端にこれを取り付けます。
これをパソコンに繋ぎ直せば、セット完了です。
パソコンに触ることができる人なら、30秒で設置が完了します。
しかも、一般の人がこれに気づくことは、まずないでしょう。犯人は、次ぎに来たときに、このコネクタを外して持って帰るわけです。
他人が触れるパソコンにでは、パスワードを入力しないこと!
この原則を忘れずに!
家庭の中でも、離婚話が出たりすると、仕掛けられることがあります。
「うちの女房は、こんなこと知ってるはずがない!」と高をくくっていても、興信所の指示で設置することもあるのです。
★この記事が参考になった人はクリックしてください>>
